Attacchi di phishing nascosti nei servizi cloud di Google

Kaspersky segnala un aumento degli attacchi di phishing del 40% nel 2023

I ricercatori di Check Point Software Technologies avvertono del pericolo indicando una tendenza in rapida crescita con la quale gli hacker nascondono attacchi di phishing su Google Cloud Services

Utilizzando funzionalità avanzate in un noto servizio di cloud storage, gli hacker possono mascherare meglio le loro intenzioni maligne e non farsi cogliere dalle più tradizionali bandiere rosse che la gente cerca, come domini dall’aspetto sospettoso o siti web senza certificato HTTPS. Di seguito, i ricercatori di Check Point forniscono un esempio di hacker che utilizza le funzionalità avanzate GCP, le funzioni di Google, per orchestrare un sofisticato attacco di phishing, proprio come qualsiasi altra azienda.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Esempio: gli Hacker utilizzano le funzionalità avanzate GCP per spingere il Phishing Attack 

Quest’anno i ricercatori di Check Point si sono imbattuti in un attacco iniziato con un documento PDF caricato su Google Drive, che includeva un link a una pagina di phishing. La pagina di phishing, ospitata su storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, ha chiesto all’utente di effettuare il login con il proprio Office 365 o con l’e-mail dell’organizzazione. Quando un utente sceglie una delle opzioni, appare una finestra pop-up con la pagina di login di Outlook. Dopo aver inserito le credenziali, l’utente viene condotto ad un vero e proprio rapporto in PDF pubblicato da una rinomata società di consulenza globale. Durante tutte queste fasi, l’utente non si insospettisce mai, poiché la pagina di phishing è ospitata su Google Cloud Storage. Tuttavia, la visualizzazione del codice sorgente della pagina di phishing ha rivelato che la maggior parte delle risorse viene caricata da un sito web che appartiene agli aggressori, prvtsmtp[.]com. Gli aggressori hanno iniziato a utilizzare le funzioni di Google Cloud, un servizio che consente l’esecuzione del codice nel cloud. In questo caso le risorse nella pagina di phishing sono state caricate da un’istanza di Google Cloud Functions senza esporre i domini maligni degli aggressori. L’indagine prvtsmtp[.]com ha mostrato che è collegato a un indirizzo IP ucraino (31.28.168[.]4). Molti altri domini collegati a questo attacco di phishing sono stati risolti allo stesso indirizzo IP o a diversi domini sullo stesso blocco di rete.

Leggi anche:  S3K partecipa a CyberTech Europe 2023

Lotem FinkelsteenManager Threat Intelligence di Check Point: “Da qualche tempo gli hacker stanno aggirandosi intorno ai servizi di cloud storage su cui ci affidiamo e di cui ci fidiamo, rendendo molto più difficile identificare un attacco di phishing. Le tradizionali bandiere rosse di un attacco di phishing, come i domini sosia o i siti web senza certificati, non ci aiuteranno molto, visto che entriamo in una potenziale pandemia cibernetica. Gli utenti della Google Cloud Platform, anche gli utenti di AWS e Azure, dovrebbero tutti fare attenzione a questa tendenza in rapida crescita, e imparare a proteggersi. Si comincia pensando due volte ai file che si ricevono dai mittenti.”

Come proteggersi

  1. Attenzione ai domini apparenti, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti di e-mail non familiari.
  2. Siate prudenti con i file ricevuti via e-mail da mittenti sconosciuti, soprattutto se richiedono una certa azione che di solito non fareste.
  3. Assicuratevi di ordinare la merce da una fonte autentica. Un modo per farlo è quello di NON cliccare sui link promozionali nelle e-mail, e invece, Google il rivenditore desiderato e fare clic sul link dalla pagina dei risultati di Google.
  4. Attenzione alle offerte “speciali”. “Una cura esclusiva per il coronavirus a 150 dollari” non è di solito un’opportunità di acquisto affidabile o affidabile.
  5. Assicuratevi di non riutilizzare le password tra le diverse applicazioni e gli account.

In merito alla questione, Google dichiara quanto segue:

Google è intervenuta già a gennaio 2020 bloccando questo specifico tentativo di hackeraggio, avendo registrato un abuso di phishing, e successivamente ha sospeso l’URL e tutti gli URL associati a quel progetto da allora.
Google indaga e sospende qualsiasi pagina di phishing nel momento in cui viene rilevata, attraverso i feed di dati Safe Browsing e altre segnalazioni dirette.