Специалисты компании F.A.C.C.T. зафиксировали использование в России новой мошеннической схемы, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google. Впервые об этой проблеме сообщили исследователи из компании Checkpoint в сентябре 2023 года. И вот полгода спустя этот инструмент взяли на вооружение мошенники, работающие по России. Все подробности — у Антона Афонина, руководителя отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T.
Как две капли воды
Внешне письмо, отправленное злоумышленниками, ничем не отличается от того, что мы привыкли видеть в рассылке, сделанной в сервисе Google Looker Studio — это популярный онлайн-инструмент для преобразования данных в настраиваемые информативные отчеты:
![](https://static.tildacdn.com/tild3966-3636-4237-b331-626631326362/3f71023e63c2376743c8.png)
В качестве отправителя письма указано имя пользователя, а в качестве почтового адреса отправителя — looker-studio-noreply@google.com. Конечно, почту отправителя можно легко подделать, и аналитики F.A.C.C.T. уже не раз рассказывали о техниках, позволяющих это сделать. Однако электронная почта имеет механизмы защиты, такие как SPF и DKIM, позволяющие установить подлинность письма. В данном случае SPF была проверена успешно, а DKIM-подпись google.com подтверждена:
![](https://static.tildacdn.com/tild3431-3966-4865-b036-386365643935/15af606e5ae92b1a9888.png)
Более того, маршрут письма подтверждает, что его первоисточником был именно сервер компании Google.
![](https://static.tildacdn.com/tild6131-3265-4838-b530-633864613335/33c0ac024fd44e981b71.png)
Все это означает, что письмо, действительно, было сформировано одним из сервисов компании и не было кем-либо подделано.
Однако тема сообщения про выплаты и онлайн-компенсации намекает внимательному пользователю о том, что мы столкнулись с мошенниками. Да, и сама ссылка в тексте данного письма совсем не безобидная. Она ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс.
Однако тема сообщения про выплаты и онлайн-компенсации намекает внимательному пользователю о том, что мы столкнулись с мошенниками. Да, и сама ссылка в тексте данного письма совсем не безобидная. Она ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс.
![](https://static.tildacdn.com/tild6538-3637-4137-b833-376532643164/c6d4b6289189bf7397db.png)
Это пример классического мошеннического сайта, где пользователю предлагают получить 28 000 рублей, воспользовавшись услугами одного из популярных банков. Страницы всех представленных банков являются фишинговыми и созданными исключительно для кражи средств с карточек граждан. В этом легко убедиться, просто взглянув на домены, на которых размещаются сайты.
![](https://static.tildacdn.com/tild3838-3231-4362-b830-636139363239/da948dbf9845b31d53ab.png)
Несколько выводов напоследок
Опасность данной тактики заключается в том, что вендоры информационной безопасности часто доверяют приложениям и сервисам Google и других крупных и именитых компаний, а благодаря уловкам вроде той, которую мы описали сегодня, злоумышленники могут эксплуатировать вполне легитимные сервисы для рассылки фишинга и скама.
Если же решение, защищающее почту, попытается честно проанализировать такое письмо, оно не сможет получить доступ к фишинговому вложению, поскольку доступ к отчету Looker Studio мог быть предоставлен только учетным записям потенциальных жертв.
Пользователям стоит проявлять бдительность: даже когда источник письма не вызывает никаких сомнений, всегда помните о том, что мошенники постоянно совершенствуют арсенал инструментов для совершения преступлений. Никогда не пренебрегайте правилами цифровой гигиены.
Источник: Хабр