Bezpečnostní odborníci vydali urgentné varovanie pred novým druhom phishingového útoku, ktorý zneužíva legitímne cloudové služby Googlu. Podľa informácií analýzy spoločnosti Cofense, kybernetickí útočníci zvyšujú intenzitu phishingových kampaní, ktoré využívajú platformu Google Apps Script. Táto metóda využíva vysokú úroveň dôveryhodnosti služieb Googlu, čo útočníkom umožňuje bez problémov prekonať bežné firemné bezpečnostné filtre.
Útočníci zneužívajú legitímne nástroje Googlu
Aktuálny podvodný scenár začína emailom, ktorý sa tvári ako urgentné oznámenie od vedenia spoločnosti, prípadne nadriadeného pracovníka, prevažne s požiadavkou spracovať faktúru či vykonať platbu. Experti však identifikovali zásadný rozdiel oproti tradičným phishingovým pokusom. Kým tradičné phishingové techniky zväčša využívajú podozrivé alebo zavádzajúce webové adresy, tento nový typ útoku obsahuje autentické URL adresy patriace priamo do prostredia cloudových služieb od spoločnosti Google.
Ako technickú platformu si útočníci zvolili Google Apps Script, nástroj bežne využívaný používateľmi balíka Google Workspace. Táto aplikácia umožňuje používateľom tvoriť vlastné skripty a jednoducho nasadzovať webové aplikácie priamo v cloude Google. Práve preto nemusí byť škodlivý obsah zachytený štandardnými antivírusovými alebo antispamovými riešeniami, ktoré označujú Google Apps Script ako bezpečnú, legitímnu a dôveryhodnú platformu.
Stačí jedno prihlasovacie okno a obete nič netušia
Po kliknutí na link zo zavádzajúceho mailu sa používateľovi zobrazí webová stránka vytvorená cez platformu Google Apps Script. Je navrhnutá ako dôveryhodná prihlasovacia obrazovka a často sa podobá na univerzálny Single Sign-On (SSO) formulár, aký väčšina veľkých firiem využíva na autentifikáciu. Zamestnanci v dôsledku toho nekladú otázky a automaticky zadávajú svoje prihlasovacie údaje.
Po zadaní údajov sú citlivé informácie ihneď potichu odoslané kybernetickým zločincom. V okamihu získania krajných prihlasovacích dát je obeť okamžite presmerovaná na skutočnú prihlasovaciu stránku Microsoftu, čo vytvára dokonalú ilúziu legitímnosti a zabraňuje obetiam podozrievať, že boli emóciou alebo nepozornosťou uvedené do omylu. Hackerom to prináša dostatočne dlhý náskok a príležitosť zneužívať ukradnuté údaje ešte pred možným odhalením.
Firmy musia prispôsobiť svoje bezpečnostné stratégie
V súvislosti s nárastom tohto typu phishingových útokov zdôrazňujú odborníci potrebu rýchlej adaptácie bezpečnostných nastavení a dôkladnej kontroly emailového obsahu. Spoločnostiam sa odporúča zvážiť striktné bezpečnostné pravidlá pri zaobchádzaní s odkazmi vedúcimi na cloudové služby, konkrétne na Google Apps Script.
Medzi krátkodobými opatreniami, ktoré experti navrhujú, figuruje aj zablokovanie (alebo minimálne označenie ako potenciálne nebezpečných) všetkých odkazov, ktoré využívajú URL adresy Google Apps Script. Z dlhodobého hľadiska je podľa odborníkov najlepšou ochranou pravidelné vzdelávanie pracovníkov, simulovanie phishingových kampaní a intenzívna osveta zamestnancov ohľadom nových metód, akými útočníci operujú.
Veľmi perspektívnym smerom je taktiež využitie umelej inteligencie v bezpečnostných systémoch. AI technológie pomáhajú podnikom efektívne odhaľovať anomálie, automaticky identifikovať podozrivé správanie a včas neutralizovať hrozby, ktoré by mohli uniknúť tradičným obranným mechanizmom.
Tento incident predstavuje pre firmy silný impulz na prehodnotenie aktuálnych bezpečnostných politík a ich rýchlu adaptáciu na stále sofistikovanejšie phishingové útoky. Len rýchle opatrenia a dôkladná príprava môžu v súčasnosti zaručiť efektívnu ochranu pred podobnými bezpečnostnými incidentmi.
