Перейти к содержанию

Применение Google Apps Script в фишинге | Блог Касперского


Рекомендуемые сообщения

Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.

Что такое Apps Script и как его используют злоумышленники

Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.

В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:

  1. Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией.
  2. Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений.
  3. Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона).

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Почему даже крупные компании с существенными инвестициями в ИБ регулярно становятся жертвами взлома? Наиболее частый ответ: устаревший подход к безопасности. Защитники пользуются десятками инструментов, но при этом не могут достаточно полно видеть, что происходит внутри их сети — которая теперь чаще всего включает не только привычные физические, но и облачные сегменты. Хакеры активно пользуются украденными учетными записями, действуют через взломанных подрядчиков организации и стараются использовать минимум явно зловредного ПО, предпочитая вполне легальный софт и «инструменты двойного назначения». В такой ситуации инструменты, просто защищающие компьютеры фирмы от вредоносного ПО, могут быть недостаточно эффективны для выявления хорошо продуманных кибератак.
      По результатам недавнего опроса, 44% директоров по ИБ жалуются, что пропустили утечку данных, причем 84% связывают это с невозможностью анализировать трафик, особенно зашифрованный. Именно детальный анализ всего трафика организации, включая внутренний, значительно повышает возможности защитников, а реализовать его можно с помощью перспективных систем Network Detection and Response (NDR). В линейке продуктов «Лаборатории Касперского» функциональность NDR реализована в рамках Kaspersky Anti Targeted Attack Platform (KATA).
      Старых инструментов ИБ недостаточно
      Если описать приоритеты современных злоумышленников всего одним словом, это будет слово «скрытность». И шпионские APT, и атаки банд кибервымогателей, и любые другие угрозы, нацеленные на конкретную организацию, прикладывают существенные усилия, чтобы не быть обнаруженными и затруднить анализ их действий постфактум. Наш отчет о реагировании на инциденты демонстрирует это во всей красе: атакующие пользуются учетными записями настоящих сотрудников или подрядчиков, применяют в атаке только ИТ-инструменты, которые уже есть в системе и применяются сисадминами организации (Living off the Land), а также эксплуатируют уязвимости, позволяющие выполнять нужные задачи от имени привилегированных пользователей, процессов и устройств. В качестве одной из опорных точек в атаках все чаще задействуются пограничные устройства, такие как прокси-сервер или межсетевой экран.
      А чем на это отвечает служба ИБ? Если подход к обнаружению угроз в компании проектировался несколько лет назад, возможно, у защитников просто нет инструментов, чтобы вовремя обнаружить такую активность.
      Межсетевые экраны — в своем традиционном виде защищают только периметр организации и не помогают обнаруживать подозрительную сетевую активность внутри периметра (например, захват атакующими новых компьютеров). Системы обнаружения и предотвращения вторжений (IDS/IPS) — имеют весьма ограниченные возможности классических IDS для детектирования активности по зашифрованным каналам, а их типичное расположение на границе раздела сетевых сегментов делает обнаружение бокового перемещения затруднительным. Антивирусы и системы защиты конечных точек — сложно использовать для обнаружения активности, полностью ведущейся легитимными инструментами в ручном режиме. Более того, в организации всегда есть роутеры, IoT-устройства или сетевая периферия, на которых этой системы защиты и не может быть в принципе.  
      View the full article
    • KL FC Bot
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      По решению компании Google наши приложения для защиты устройств на базе Android в настоящее время недоступны в официальном магазине приложений Google Play.
      Это решение Google основано на недавнем запрете правительства США на распространение и продажу продуктов «Лаборатории Касперского» в Соединенных Штатах после 29 сентября 2024 года. Хотя эти ограничения и не имеют юридической силы за пределами США, Google в одностороннем порядке удалил все наши продукты из Google Play, лишив пользователей своего магазина приложений во всем мире доступа к нашим лидирующим защитным решениям для Android.
      Мы считаем, что Google избыточно трактует решение Министерства торговли США, ограничительные меры которого никак не запрещают продажу и распространение продуктов и услуг Kaspersky за пределами США. Мы обсуждаем данную ситуацию со всеми вовлеченными сторонами.
      Что будет с уже установленными из Google Play приложениями?
      Все наши приложения, установленные из Google Play на Android-устройства, продолжат нормально работать. Все платные подписки и функции приложений остаются активными, базы угроз продолжат обновляться, поскольку управление лицензиями и обновлениями вирусных баз происходит через нашу собственную облачную инфраструктуру. Однако обновить сами приложения или переустановить их непосредственно из Google Play не получится.
      Как теперь установить или обновить приложения Kaspersky для Android?
      Чтобы ваши Android-устройства не остались без защиты, мы рекомендуем загрузить или обновить наши Android-приложения из других мобильных сторов крупных производителей смартфонов, например Galaxy Store от Samsung, Huawei AppGallery, Xiaomi GetApps и других, или из официального российского магазина приложений RuStore. Опытные пользователи могут установить приложения «Лаборатории Касперского» самостоятельно с помощью APK-файлов, доступных на нашем сайте.
      На официальной странице нашей технической поддержки есть подробная статья с актуальными ссылками на все магазины приложений, в которых мы представлены, и на прямое скачивание APK-файлов, плюс инструкции по установке и активации наших приложений из APK-файлов.
      Все актуальные версии наших продуктов сохраняют полную работоспособность, поддерживают самые свежие операционные системы (в том числе Android 15) и продолжают защищать пользователей от современных киберугроз.
      View the full article
×
×
  • Создать...