Elastica: موج جدید حملات فیشینگ به گوگل درایو با SSL جعلی

شرکت امنیتی و تحقیقاتی Elastica Cloud Threat Labs اولین بار از صفحات آلوده به فیشینگ که روی سرورهای سرویس ابری Google Drive بارگذاری شده بود پرده برداشت.

این کمپین فیشینگ شباهت‌های زیادی به موجی از حملات فیشینگ دارد که محققان در ماه مارس ۲۰۱۴ آن را شناسایی کردند؛ در حملات فیشینگ سال میلادی گذشته، کاربران به نسخه جعلی صفحه خدمات آنلاین گوگل وارد شده و با وارد کردن شناسه و رمز عبور خود در واقع اطلاعات حساب‌های کاربری‌شان را دراختیار مهاجمان قرار می‌دادند.

اما نکته جالب و پراهمیت آنکه این صفحات جعلی روی پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاری می‌شدند؛ اما این حمله فیشینگ به‌صورت ایمیلی انجام شده و کاربران با دریافت ایمیلی با عنوان Document به صفحات آلوده و قلابی مهاجمان تغییر مسیر داده می‌شوند.

Elastica در گزارشی درباره این آسیب‌پذیری امنیتی نوشت: «استفاده از Google Drive برای میزبانی صفحات فیشینگ به مهاجمان امکان می‌دهد به‌راحتی از اعتماد کاربران به گوگل به نفع خود استفاده کنند.» گوگل بعد از انتشار این گزارش صفحات مورد نظر را از روی سرورهای خود حذف کرد.

به گزارش این شرکت امنیت خدمات ابری، مهاجمان به جای صرف زمان و هزینه فراوان برای راه‌اندازی یک حمله فیشینگ ایمیلی از ضعف سرویس Google Drive در ذخیره‌سازی و ارائه محتوی استفاده کرده‌اند. علاوه بر این بارگذاری این صفحات تحت پروتکل امن HTTPS (پروتکلی که هنگام بارگذاری صفحاتی نظیر پرداخت آنلاین مشاهده می‌کنیم) باعث می‌شود کاربران با خیال راحت و بی هیچ شک و گمانی اطلاعات خود را وارد کنند.

Elastica در بخش دیگری از گزارش خود نوشت:

مهاجمان برای سواستفاده حداکثری از این آسیب‌پذیری، به‌طور خاص کاربران گوگل را هدف قرار دادند تا از طریق دستیابی به اطلاعات ورود آنها به دامنه گسترده‌ای از خدمات آنلاین گوگل دسترسی یابند، چرا که گوگل از سیستم ورود Single Sign On ) SSO) استفاده می‌کند.

سیستم SSO به این معناست که کاربران با یک بار وارد کردن شناسه و گذرواژه خود به تمام خدمات گوگل مانند ایمیل، سرویس ذخیره‌سازی ابری یا Google+ دسترسی پیدا می‌کنند و لازم نیست برای استفاده از هر سرویس به‌طور جداگانه اطلاعات کاربری خود را وارد کنند.

این ایمیل‌های آلوده به‌وسیله ابزار امنیت آنلاین گوگل شناسایی نمی‌شوند چرا که مبدا ایمیل یک حساب Gmail بوده و لینک درون آن نیز کاربران را به دامنه‌ای تحت میزبانی googledrive.com تغییر مسیر می‌دهد؛ اما در این صفحات آلوده عناصری وجود دارد که باید بیشتر به آن توجه کرد.

[su_button url=”#” style=”flat” size=”1″ icon=”icon: info-circle”]ibtimes[/su_button]