Киберпреступники используют легитимный сервис Google для обхода механизмов защиты электронной почты и доставки фишинговых писем прямо в почтовые ящики людей.
Исследователи кибербезопасности KnowBe4, которые первыми заметили атаки, предупредили, что мошенники используют Google AppSheet, платформу для разработки мобильных и веб-приложений без кода, и благодаря автоматизации рабочего процесса смогли отправлять электронные письма, используя адрес "noreply[@]appsheet[.]com".
Фишинговые письма имитируют Facebook и призваны обманом заставить людей передать свои учетные данные и коды 2FA для входа на платформу социальных сетей.
Коды 2FA и сеансовые маркеры
Письма, которые рассылались массово и в довольно больших объемах, поступали из легитимного источника, успешно обходя Microsoft и шлюзы безопасной электронной почты (SEG), которые полагаются на проверку репутации домена и аутентификации (SPF, DKIM, DMARC).
Кроме того, поскольку AppSheets может генерировать уникальные идентификаторы, каждое письмо немного отличалось от другого, что также помогло обойти традиционные системы обнаружения.
Сами письма подделывали Facebook. Мошенники пытались обмануть жертв, заставляя их думать, что они нарушили чью-то интеллектуальную собственность и что их аккаунты будут удалены в течение 24 часов.
Если, конечно, они не подадут апелляцию через удобно расположенную в письме кнопку «Подать апелляцию».
Нажав на кнопку, жертва попадает на целевую страницу, выдающую себя за Facebook, где она может указать свои учетные данные и коды 2FA, которые затем передаются злоумышленникам.
Страница размещена на Vercel, который, по словам KnowBe4, является «авторитетной платформой, известной как хостинг современных веб-приложений». Это еще больше усиливает доверие ко всей кампании.
Атака имеет несколько дополнительных непредвиденных обстоятельств. При первой попытке входа в систему выдается результат «неверный пароль» - не потому, что жертва ввела неверный пароль, а чтобы подтвердить отправку.
Кроме того, предоставленные коды 2FA сразу же передаются в Facebook, а взамен мошенники получают токен сессии, который позволяет сохранять их даже после смены пароля.
source: https://www.techradar.com/pro/secur...gle-program-to-try-and-hack-facebook-accounts
Исследователи кибербезопасности KnowBe4, которые первыми заметили атаки, предупредили, что мошенники используют Google AppSheet, платформу для разработки мобильных и веб-приложений без кода, и благодаря автоматизации рабочего процесса смогли отправлять электронные письма, используя адрес "noreply[@]appsheet[.]com".
Фишинговые письма имитируют Facebook и призваны обманом заставить людей передать свои учетные данные и коды 2FA для входа на платформу социальных сетей.
Коды 2FA и сеансовые маркеры
Письма, которые рассылались массово и в довольно больших объемах, поступали из легитимного источника, успешно обходя Microsoft и шлюзы безопасной электронной почты (SEG), которые полагаются на проверку репутации домена и аутентификации (SPF, DKIM, DMARC).
Кроме того, поскольку AppSheets может генерировать уникальные идентификаторы, каждое письмо немного отличалось от другого, что также помогло обойти традиционные системы обнаружения.
Сами письма подделывали Facebook. Мошенники пытались обмануть жертв, заставляя их думать, что они нарушили чью-то интеллектуальную собственность и что их аккаунты будут удалены в течение 24 часов.
Если, конечно, они не подадут апелляцию через удобно расположенную в письме кнопку «Подать апелляцию».
Нажав на кнопку, жертва попадает на целевую страницу, выдающую себя за Facebook, где она может указать свои учетные данные и коды 2FA, которые затем передаются злоумышленникам.
Страница размещена на Vercel, который, по словам KnowBe4, является «авторитетной платформой, известной как хостинг современных веб-приложений». Это еще больше усиливает доверие ко всей кампании.
Атака имеет несколько дополнительных непредвиденных обстоятельств. При первой попытке входа в систему выдается результат «неверный пароль» - не потому, что жертва ввела неверный пароль, а чтобы подтвердить отправку.
Кроме того, предоставленные коды 2FA сразу же передаются в Facebook, а взамен мошенники получают токен сессии, который позволяет сохранять их даже после смены пароля.
source: https://www.techradar.com/pro/secur...gle-program-to-try-and-hack-facebook-accounts