Οι ερευνητές ασφαλείας προειδοποιούν για αυξημένες επιθέσεις phishing, που εκμεταλλεύονται τις Σελίδες Google Accelerated Mobile (AMP) για να παρακάμψουν τα μέτρα ασφαλείας των email και να φτάσουν στα εισερχόμενα των εργαζομένων μιας επιχείρησης.
Δείτε επίσης: Microsoft: Ενισχύει την προστασία από phishing στα Windows 11
Το Google AMP, ή Google Accelerated Mobile Pages, αποτελεί ένα εργαλείο που δημιουργήθηκε για να επιταχύνει τη φόρτωση σελίδων για κινητές συσκευές. Το AMP επιτρέπει την προφόρτωση περιεχομένου, περιλαμβάνοντας τα βαρύτερα πολυμεσικά στοιχεία, καθώς λειτουργεί από τους δικούς του διακομιστές της Google. Όμως, αυτή η δυνατότητα της Google AMP, που σχεδιάστηκε για να δημιουργήσει μια καλύτερη εμπειρία για τους χρήστες, έχει αποδειχθεί ευάλωτη σε κακόβουλη χρήση. Οι κακόβουλοι παράγοντες εκμεταλλεύονται την εμπιστοσύνη που δημιουργεί η διεύθυνση URL της Google AMP για να παρακάμψουν τα μέτρα ασφάλειας και να εκτελέσουν επιθέσεις phishing.
Η ιδέα πίσω από τη χρήση των διευθύνσεων URL AMP της Google σε μηνύματα phishing είναι να διασφαλιστεί ότι η τεχνολογία προστασίας email δεν θα επισημάνει τα μηνύματα ως κακόβουλα ή ύποπτα, λόγω της ήδη καλής φήμης της Google.
Οι διευθύνσεις URL AMP μπορεί να ανακατευθύνουν σε κακόβουλους ιστότοπους ηλεκτρονικού ψαρέματος (phishing), καθώς και να παρεμποδίζουν την ανάλυση. Αυτή η επιπλέον προστασία προσθέτει ένα επιπέδο ασφάλειας για τους χρήστες.
Τα δεδομένα που παρέχει η εταιρεία προστασίας κατά του phishing Cofense αποκαλύπτουν ότι ο όγκος των επιθέσεων που χρησιμοποιούν AMP έχει αυξηθεί σημαντικά από τα μέσα του Ιουλίου. Αυτό υποδηλώνει ότι οι κακόβουλοι φορείς ενδέχεται να υιοθετήσουν αυτήν τη μέθοδο.
“Από όλες τις διευθύνσεις URL AMP της Google που έχουμε παρατηρήσει, περίπου το 77% φιλοξενούνταν στον τομέα google.com και το 23% φιλοξενούνταν στον τομέα google.co.uk“, εξηγεί η Cofense στην αναφορά.
Δείτε ακόμα: Το phishing και τα scam pages αυξήθηκαν σημαντικά το 2022
Παρόλο που η διαδρομή “google.com/amp/s/
” είναι κοινή σε όλες τις περιπτώσεις, η απαγόρευσή της θα επηρεάσει επίσης όλες τις νόμιμες περιπτώσεις χρήσης του Google AMP. Ωστόσο, η επισήμανσή τους μπορεί να αποτελεί την καταλληλότερη ενέργεια για να ειδοποιηθούν οι παραλήπτες ώστε να είναι προσεκτικοί όσον αφορά πιθανές κακόβουλες ανακατευθύνσεις.Η εταιρεία Cofense αναφέρει ότι οι δράστες phishing που καταχρώνται την υπηρεσία Google AMP χρησιμοποιούν επίσης μια σειρά πρόσθετων τεχνικών που συνδράμουν στην αποφυγή ανίχνευσης και αυξάνουν το ποσοστό επιτυχίας τους.
Για παράδειγμα, σε πολλές περιπτώσεις που παρατηρήθηκαν από την Cofense, οι παράγοντες απειλών χρησιμοποιούσαν HTML μηνύματα ηλεκτρονικού ταχυδρομείου που βασίζονταν σε εικόνα, αντί για ένα κλασικό κείμενο. Αυτό γίνεται για να μπερδέψει τους σαρωτές κειμένου που αναζητούν συχνούς όρους phishing μέσα στο μήνυμα.
Σε ένα ακόμα παράδειγμα, οι εισβολείς χρησιμοποίησαν ένα επιπλέον βήμα ανακατεύθυνσης για να πραγματοποιήσουν απάτη, εκμεταλλευόμενοι μια διεύθυνση URL του Microsoft.com. Με αυτόν τον τρόπο, μετέφεραν το θύμα σε μια σελίδα Google AMP και τελικά σε μια ιστοσελίδα που προσποιείται ένα ηλεκτρονικό κατάστημα, με σκοπό να τον εξαπατήσουν.
Τέλος, οι εισβολείς χρησιμοποίησαν την υπηρεσία CAPTCHA του Cloudflare για να εμποδίσουν την αυτοματοποιημένη ανάλυση των σελίδων phishing από ρομπότ ασφαλείας, καταστέλλοντας την δυνατότητα των ανιχνευτών να τις εξετάσουν.
Δείτε επίσης: RomCom: Στοχεύει τους συμμετέχοντες στη σύνοδο κορυφής του ΝΑΤΟ σε επιθέσεις phishing
Συνολικά, σήμερα οι φορείς ηλεκτρονικού ψαρέματος χρησιμοποιούν ποικίλες μεθόδους αποφυγής εντοπισμού που καθιστούν όλο και πιο δύσκολο για τους στόχους και τα εργαλεία ασφαλείας να αναγνωρίσουν και να αποκλείσουν τις απειλές.