Un aumento en los recientes ataques de phishing y de compromiso de correo electrónico empresarial (BEC) se remonta a que los delincuentes aprendieron a explotar los servicios de Google , según una investigación de Armorblox.
El distanciamiento social ha llevado a empresas enteras, a los brazos del ecosistema de Google en busca de una forma sencilla y fiable de digitalizar la oficina tradicional. El cofundador y director de ingeniería de Armorblox, Arjun Sambamoorthy, acaba de publicar un informe que detalla cómo los servicios como Google Forms, Google Docs y otros están siendo utilizados por actores maliciosos para dar a sus intentos de suplantación una falsa apariencia de legitimidad, tanto para los filtros de seguridad como para los víctimas.
Oficinas virtuales completas, con flujos e trabajo virtuales pueden existir en ecosistema completo de google, escribió Sambamoorthy. "Desafortunadamente, los ciberdelincuentes explotan la naturaleza abierta y democratizada de Google para defraudar a personas y organizaciones con dinero y datos confidenciales".
El informe ofrece varios ejemplos específicos de cómo los servicios de Google ayudan a los atacantes con sus esquemas.
Formularios de Google
Una campaña utilizó un formulario de Google y un logotipo de American Express para intentar que las víctimas ingresaran información confidencial.
“Alojar la página de phishing en un formulario de Google ayuda al correo electrónico inicial a evadir cualquier filtro de seguridad que bloquee los enlaces o dominios maliciosos conocidos”, según Sambamoorthy. "Dado que el dominio de Google es intrínsecamente confiable y los formularios de Google se utilizan por varias razones legítimas, ningún filtro de seguridad de correo electrónico bloquearía de manera realista este enlace el 'día cero'"
La estafa de American Express. Fuente: Armorblox.
Otro ataque que encontró Sambamoorthy utilizó una carta ficticia de una viuda sin hijos que buscaba a alguien a quien legar su fortuna. El enlace del correo electrónico conduce a un formulario de Google con un campo de pregunta en blanco. En este caso, Google Form ayuda a los atacantes con la estrategia de ingeniería social, según el informe.
“Mucha gente sentirá que el correo electrónico es sospechoso después de revisar el contenido y visitar este formulario ficticio”, continuó. “Pero algunas personas enviarán la única opción permitida por el formulario, o enviarán una respuesta a la dirección proporcionada en el correo electrónico. Esto permite a los atacantes preseleccionar a los destinatarios de correo electrónico más ingenuos y emocionalmente susceptibles, que serán los principales objetivos de los correos electrónicos de seguimiento de la viuda sin hijos.
Google Firebase, Google Sites y Google Docs
La plataforma móvil de Google, Firebase, se usó en otro esquema para alojar una página de phishing, lo que le permitió colarse a través de los filtros de correo electrónico por la misma razón: porque Firebase es confiable.
En una estafa de fraude de desvío de nómina impulsada por servicios de Google que Sambamoorthy destacó, un enlace de correo electrónico fraudulento envió a los destinatarios a un archivo de Google Doc para "confirmar" sus detalles de pago.
Y en otro ataque, se envió un correo electrónico a las víctimas, supuestamente de su propio equipo de TI, pidiéndoles que revisaran un mensaje seguro en Microsoft Teams de un colega. El enlace conducía a una página web con un portal de inicio de sesión de Office 365 falso alojado en Google Sites.
“La malicia de la intención de la página se escondía detrás de la legitimidad del dominio de la página”, agregó Sambamoorthy. "Esta página pasaría la mayoría de las pruebas de la vista durante las mañanas ocupadas (que es cuando se envió el correo electrónico), y la gente asume felizmente que es una página legítima de Microsoft".
Secuestro de servicios de Google: una tendencia
La capacidad de los actores malintencionados de aprovechar los servicios de Google para sus actividades está comenzando a emerger como una tendencia en toda regla.
A principios de noviembre, los investigadores encontraron 265 formularios de Google que se hacen pasar por marcas como AT&T, Citibank y Capitol One e incluso agencias gubernamentales como el Servicio de Impuestos Internos y el gobierno mexicano utilizados en ataques de phishing.
Google eliminó los formularios después de que los investigadores de Zimperium los informaran.
Apenas unos días antes, se descubrió que los estafadores estaban utilizando una colaboración legítima de Google Drive para engañar a las víctimas para que hicieran clic en enlaces maliciosos.
Incluso Google Calendar ha sido objeto de abusos en el pasado, en un sofisticado ciberataque dirigido a los usuarios de Gmail móviles a través de notificaciones de reuniones fraudulentas y no solicitadas.
Por su parte, Google enfatiza que la compañía está tomando todas las medidas para mantener a los actores maliciosos fuera de sus plataformas.
"Estamos profundamente comprometidos a proteger a nuestros usuarios del abuso de phishing en nuestros servicios, y trabajamos continuamente en medidas adicionales para bloquear este tipo de ataques a medida que evolucionan los métodos", dijo un portavoz de Google a Threatpost por correo electrónico.
La declaración agregó que la política de abuso de Google prohíbe el phishing y enfatizó que la compañía es agresiva en la lucha contra el abuso.
"Usamos medidas proactivas para prevenir este abuso y los usuarios pueden denunciar el abuso en nuestras plataformas", dice el comunicado. "Google ha implementado fuertes medidas para detectar y bloquear el abuso de phishing en nuestros servicios".
Sambamoorthy dijo a Threatpost que la responsabilidad de la seguridad no recae solo en Google y que las organizaciones no deben depender únicamente de las protecciones de seguridad de Google para sus datos confidenciales.
“Google se enfrenta a un dilema fundamental porque lo que hace que sus servicios sean gratuitos y fáciles de usar también reduce el listón para que los ciberdelincuentes creen y lancen ataques de phishing efectivos”, dijo. "Es importante recordar que Google no es una empresa de seguridad de correo electrónico; su responsabilidad principal es brindar un servicio de correo electrónico eficaz y funcional".
Sambamoorthy dijo que la autenticación de dos factores (2FA) y el mantenimiento de contraseñas seguras con un administrador de contraseñas son las mejores formas para que los usuarios se protejan. Además de esas mejores prácticas, el informe recomendó "pruebas oculares rigurosas" de los correos electrónicos "relacionados con el dinero y los datos".
Las organizaciones, dijo, deben establecer políticas de seguridad básicas y establecer mecanismos que sean capaces de adaptarse a las amenazas nuevas y en evolución.
“La seguridad tiene un componente de 'proceso' importante, por lo que las organizaciones deben asegurarse de tener los controles, verificaciones y equilibrios adecuados para proteger a los usuarios y los datos”, dijo Sambamoorthy. “Dado que estos patrones de ataque siempre están evolucionando, las organizaciones deben invertir en tecnologías de seguridad que tengan mecanismos de retroalimentación incorporados. Estos mecanismos deberían aprender de los nuevos ataques y perfeccionar los algoritmos de detección con el tiempo "
https://threatpost.com/google-services-weaponized-to-bypass-security-in-phishing-bec-campaigns/161467/
