فیشینگ با Google Apps Script

۱۴۰۰/۵/۶امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین برای سرقت اطلاعات محرمانه در ایمیل‌های سازمانی می‌بایست ابتدا روی سرورهای ایمیل سازمان، راهکارهای ضدفیشینگ را دور بزنند. آن‌ها به عنوان یک قانون از سرویس‌های وب قانونی استفاده می‌کنند تا حواس‌ها را پرت کنند. آن‌ها در واقع از Google Apps Script که یک پلت‌فرم اسکریپت مبتنی بر جاوااسکریپت است استفاده می‌کنند. در ادامه با ما همراه شوید تا نحوه فیشینگ از این طریق را خدمتتان شرح دهیم.

Apps Script چیست و چطور مهاجمین از آن استفاده می‌کنند؟

Apps Script یک پلت‌فرم مبتنی بر جاوااسکریپت است مخصوص اتوماتیک کردن تسک‌ها در محصولات گوگل (مانند ساخت افزونه‌هایی برای گوگل‌داکس) و نیز اپلیکیشن‌های طرف‌سوم. اساساً سرویسی است برای ساخت اسکریپت و اجرای آن‌ها در زیرساخت گوگل. مهاجمین در فیشینگ ایمیل از این سرویس برای ریدایکرت‌ها استفاده می‌کنند. به جای درج یوآرال وبسایت آلوده مستقیم در پیام، مجرمان سایبری می‌توانند لینک را برای اسکریپت بکارند. بدین‌ترتیب می‌توانند راهکارهای ضدفیشینگ در سطح میل سرور را دور زنند: هایپرلینکی به سایت قانونی گوگل با آوازه‌ای خوش از همه فیلترها بی هیچ شک و شبهه‌ای رد می‌شود! توفیق اجباری برای مجرمان سایبری: سایت‌های فیشینگی که شناسایی نمی‌شوند می‌توانند طولانی‌تر بمانند. این نقشه همچنین به مهاجمین انعطاف‌پذیری می‌دهد تا در صورت لزوم اسکریپت را تغییر دهند و دلیوری محتوا را آزمایش کنند (برای مثال ارسال قربانیان به نسخه‌های مختلف سایت، بسته به منطقه‌ای که دارند).

نمونه‌ای از اسکم با استفاده از Google Apps Script

همه کاری که مهاجمین باید بکنند این است که کاربر را مجاب به کلیک روی لینک کنند. اخیراً بهانه شایع «میل‌باکسِ پُر» بوده است. در تئوری این دلیل، دلیل موجهی است.

در عمل، مهاجمین معمولاً بی‌حواسند و آثاری از کلاهبرداری از خود جا می‌گذارند که حتی شاید کاربرانی که با نوتیفیکیشن‌های واقعی هم ناآشنا هستند بتوانند آن‌ها را مشاهده کنند:

  •         این ایمیل ظاهراً از سوی Microsoft Outlook است اما آدرس ایمیل فرستنده دامنه خارجی دارد. یک نوتیفیکیشن اقعی در مورد میل‌باکس پر باید از سوی سرور داخلی Exchange باشد.
  •         لینکی که وقتی نشانه‌گر روی Fix this in storage settings می‌چرخد به سایت Google Apps Script منتهی می‌شود:
  •         میل‌باکس‌ها ناگهانی از محدودیت‌ها تجاوز نمی‌کنند. Outlook شروع می‌کند به هشدار دادن به کاربران. تجاوز از 850 مگابایت آن هم ناگهانی شاید بدین‌معن باشد که کلی اسپم یکجا دریافت شده باشد که خوب به شدت بعید است.
  •         لینک Fix this in storage settings به سایت فیشینگ ریدایرکت می‌شود. گرچه در این مورد یک کپی صفحه لاگین بسیار متقاعدکننده از رابط وب Outlook وجود دارد که البته یک نظر به نوار آدرس مرورگر نشان می‌دهد صفحه روی وبسایت جعلی میزبانی شده است و نه زیرساخت شرکت.

راهکارهای امنیتی

تجربه نشان داده که ایمیل‌های فیشینگ لزوماً حاوی لینک‌های فیشینگ نیستند. از این رو یک محفاظت سازمانی قابل‌اطمینان باید شامل قابلیت‌های ضدفیشینگ هم در سطح میل سرور و هم روی کامپیوترهای کاربر شود. افزون بر این، یک محافظت موفق و مسئول هم باید آموزش همیشگی کارمندان را دربرگیرد که تهدیدهای سایبری و اسکم‌های فیشینگ فعلی را پوشش دهد.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.