网络攻击者向组织发送了数千封电子邮件,研究人员警告说这是针对未来商业电子邮件妥协(BEC)定位的犯罪信息侦察。研究人员观察到,从2020年12月至今,攻击者已向公司发送了数千封电子邮件,主要是零售、电信、医疗保健、能源和制造行业。值得注意的是,此活动利用了Google的Forms调查工具。网络罪犯使用GoogleForms收集信息以绕过电子邮件内容过滤系统并不是什么新鲜事,这在凭据网络钓鱼活动中很常见。然而,研究人员表示,在这次攻击中,使用GoogleForms还允许在电子邮件收件人和攻击者之间建立链接,从而允许对他们进行BEC攻击。Proofpoint研究人员在周三的分析中表示:“该活动通过利用谷歌服务结合社会工程攻击,为攻击提供了规模和合法性,这在BEC攻击中很常见。”这些消息包括目标组织中C级管理人员的姓名,表明网络犯罪分子在进行攻击时已做好充分准备。研究人员表示,这些电子邮件本身“形式简单,但在内容中传达了一种紧迫感”,询问受害者是否可以立即做某事,发件人声称正在开会或太忙无法亲自到场任务并附上电子邮件的链接。此链接会将受害者引导至托管在Google表单基础设施上的无标题表单。GoogleForms是调查管理软件,是Google文档编辑器套件的一部分。奇怪的是,这次活动中使用的表格是空白的,只是写着“无标题表格”。研究人员认为,这样做的目的是让受害者回复电子邮件,称调查问卷已被泄露或表格有误。这可以为受害者和攻击者之间进一步的通信打下基础,为后续的BEC攻击做准备。“该表格很可能是一种探测工具,只是为了查看是否有人填写了他们的信息,作为一种新的探测技术,习惯性点击电子邮件链接的用户很容易成为受害者,”研究人员表示。尽管采用了这种攻击技术,电子邮件本身仍包含几个可能引起收件人注意的明显错误。包括拼写错误和一些不规则的语法。其中一封电子邮件说:“你现在有时间吗,现在帮我一个忙,点击=m标题进入会议,我现在无法接听电话或短信,只需发送电子邮件给我。”另一个很明显最明显的地方就是这次活动中发件人使用的邮箱地址,在某些情况下一看就不是合法的邮箱地址(比如fgtytgyg[@]gmail.com)。Proofpoint的威胁研究和检测高级主管SherrodDeGrippo告诉Threatpost:“我们没有研究这些电子邮件地址的组合,与此同时,一些地址看起来像是随机拼凑而成,而另一些则使用常用名称的组合或短语“研究人员认为这只是运动的初始阶段。他们表示,攻击者可能正在收集信息以确定后续攻击的目标。研究人员表示:“电子邮件中使用的紧急语气与之前BEC攻击者的行为一致,因此我们希望这封邮件能为客户和社区敲响警钟。”攻击者此前利用了包括GoogleForms在内的其他谷歌服务,随后发起了各种恶意攻击。在去年11月的一次网络钓鱼活动中,犯罪分子使用Google表单收集受害者的凭据,这些凭据伪装成25家不同公司、品牌和政府机构的登录页面。11月的另一次攻击使用了Google表格和美国运通徽标,试图获取受害者的敏感信息。同样在11月,诈骗者利用GoogleDrive的协作功能,诱骗用户点击恶意链接来实施攻击。“虽然社会工程在电子邮件分发攻击中很普遍,但它在恶意软件和凭据网络钓鱼攻击中的应用与在BEC活动中的应用不同,”Proofpoint研究人员说。在活动中,社会工程被用于攻击的初始阶段。相比之下,在BEC中,整个攻击过程中都使用了社会工程学。虽然这种类型的攻击很少见,但我们看到的攻击通常是恶意的,在获得受害者的信任后,作案者会向受害者提供恶意软件来实施攻击。”本文翻译自:https://threatpost.com/google-forms-set-baseline-for-widespread-bec-attacks/163223/
