مهاجمان بار دیگر از اعتماد کاربران به گوگل سوءاستفاده کرده و صفحات آلوده جدیدی را روی سرورهای گوگل بارگذاری کردهاند که به آنها امکان میدهد اطلاعات ورود کاربران به سرویسهای آنلاین گوگل را سرقت کنند.
شرکت امنیتی Elastica Cloud Threat Labs اولینبار از صفحات آلوده به فیشینگ که روی سرورهای سرویس ابری Google Drive بارگذاری شده بود پرده برداشت. این کمپین فیشینگ شباهتهای زیادی به موجی از حملات فیشینگ دارد که محققان در ماه مارس ۲۰۱۴ آن را شناسایی کردند. در حملات فیشینگ سال میلادی گذشته، کاربران به نسخه جعلی صفحه خدمات آنلاین گوگل وارد شده و با وارد کردن شناسه و رمز عبور خود در واقع اطلاعات حسابهای کاربریشان را دراختیار مهاجمان قرار میدادند؛ اما نکته جالب و پراهمیت آنکه این صفحات جعلی روی پلتفرم گوگل و تحت پروتکل امن HTTPS بارگذاری میشدند. این حمله فیشینگ بهصورت ایمیلی انجام شده و کاربران با دریافت ایمیلی با عنوان Document به صفحات آلوده و قلابی مهاجمان تغییر مسیر داده میشوند.
علاوه بر این کدنویسی این موج جدید از حملات فیشینگ بهگونهای است که تشخیص قلابی بودن آن برای کاربران عادی و حتی کارشناسان بسیار دشوار بوده و این مسئله حاکی از آن است که هکرها پیوسته درحال بهروز کردن شیوههای تهاجم خود هستند و به آسانی ردی از خود به جای نمیگذارند.
Elastica در گزارشی درباره این آسیبپذیری امنیتی نوشت: «استفاده از Google Drive برای میزبانی صفحات فیشینگ به مهاجمان امکان میدهد بهراحتی از اعتماد کاربران به گوگل به نفع خود استفاده کنند.» گوگل بعد از انتشار این گزارش صفحات مورد نظر را از روی سرورهای خود حذف کرد.
به گزارش این شرکت امنیت خدمات ابری، مهاجمان بهجای صرف زمان و هزینه فراوان برای راهاندازی یک حمله فیشینگ ایمیلی از ضعف سرویس Google Drive در ذخیرهسازی و ارائه محتوا استفاده کردهاند. علاوه بر این بارگذاری این صفحات تحت پروتکل امن HTTPS (پروتکلی که هنگام بارگذاری صفحاتی نظیر پرداخت آنلاین مشاهده میکنیم) باعث میشود کاربران با خیال راحت و بی هیچ شک و گمانی اطلاعات خود را وارد کنند.
در این مورد خاص، دسترسی به اطلاعات ورود کاربران خدمات گوگل یک پیروزی بزرگ برای مهاجمان محسوب میشود.
Elastica در بخش دیگری از گزارش خود نوشت: «مهاجمان برای سوءاستفاده حداکثری از این آسیبپذیری، بهطور خاص کاربران گوگل را هدف قرار دادند تا از طریق دستیابی به اطلاعات ورود آنها به دامنه گستردهای از خدمات آنلاین گوگل دسترسی یابند، چراکه گوگل از سیستم ورود Single Sign On (SSO) استفاده میکند.» سیستم SSO به این معناست که کاربران با یکبار وارد کردن شناسه و گذرواژه خود به تمام خدمات گوگل مانند ایمیل، سرویس ذخیرهسازی ابری یا Google+ دسترسی پیدا میکنند و لازم نیست برای استفاده از هر سرویس بهطور جداگانه اطلاعات کاربری خود را وارد کنند.
کاربران بعد از دریافت یک ایمیل فیشینگ از آدرس Gmail (آدرسی که مهاجمان کنترل آن را بهدست گرفتهاند) به لینکی روی Google Drive وارد شده و صفحهای مشابه صفحه ورود گوگل پیش روی آنها بارگذاری میشود. کاربران با وارد کردن اطلاعات کاربری در واقع شناسه و رمز عبور خود را در قالب یک فایل متنی به سرورهای تحت فرمان مهاجمان ارسال میکنند؛ اما این پایان کار نیست و پس از آن یک صفحه PDF روی مرورگر کاربران بارگذاری میشود تا آنها خیال کنند با یک فرآیند معتبر و روزمره سروکار دارند.
این ایمیلهای آلوده بهوسیله ابزار امنیت آنلاین گوگل شناسایی نمیشوند، چراکه مبدا ایمیل یک حساب Gmail بوده و لینک درون آن نیز کاربران را به دامنهای تحت میزبانی googledrive.com تغییر مسیر میدهد. در این صفحات آلوده عناصری وجود دارد که باید بیشتر به آن توجه کرد.
با وارد کردن آدرس drive.google.com، گوگل کاربران را به آدرس accounts.google.com تغییر مسیر میدهد و صفحهای با همراه با این نوشته بارگذاری میشود: One Account. All of Googl. این درحالی است که صفحه گوگل قلابی پیام متفاوتی را به نمایش میگذارد: Google Drive. One Storage. اما بسیاری از کاربران قربانی این حمله فیشینگ به چنین ظرایفی دقت نمیکنند.
مهاجمان همچنین چند لایه جاوا اسکریپت را به صفحه فیشینگ خود اضافه میکنند؛ صفحهای که اطلاعات کاربری قربانیان را به آدرس hxxp://alarabia[.]my/images/Fresh/performact[.]php ارسال میکند.