Фишинговая кампания GTFire использует сервисы Google для обхода защиты и кражи учетных данных
Фишинговая кампания GTFire использует сервисы Google для обхода защиты и кражи учетных данных
Недавняя фишинговая атака под названием GTFire демонстрирует новый уровень изощренности злоумышленников, которые используют популярные сервисы Google — Firebase и Google Translate — для кражи логинов и паролей пользователей по всему миру. Особенность этой кампании заключается в том, что вредоносные ссылки маскируются под легитимные домены Google, что значительно усложняет их обнаружение и блокировку средствами защиты.
Механизм атаки и особенности кампании GTFire
Злоумышленники создают фишинговые страницы, размещая их на платформах Google Firebase, которые обычно используются для хостинга приложений и веб-сервисов. Это позволяет злоумышленникам использовать доверие к доменам Google, поскольку большинство систем безопасности и почтовых фильтров настроены на пропуск трафика с этих ресурсов.
Кроме того, в кампании задействован сервис Google Translate, который применяется для дальнейшего сокрытия вредоносных ссылок. Фишинговые URL, встроенные в Google Translate, выглядят как легитимные и часто не вызывают подозрений у пользователей, что увеличивает вероятность успешного перехода по ссылке и последующего ввода учетных данных на поддельной странице.
Почему это важно для организаций, управляющих внешней атакующей поверхностью
Использование доверенных доменов крупных провайдеров, таких как Google, в фишинговых атаках представляет серьезную угрозу для корпоративной безопасности. Традиционные инструменты защиты, включая фильтры электронной почты и веб-фильтры, часто не распознают такие ссылки как вредоносные, что позволяет злоумышленникам обходить защитные барьеры.
Для организаций, которые управляют внешней атакующей поверхностью (External Attack Surface Management, EASM), это означает необходимость более глубокого анализа и мониторинга не только собственных активов, но и связанных с ними сервисов и платформ, которые могут быть использованы злоумышленниками для маскировки атак.
Практические рекомендации для команд безопасности
-
Усилить мониторинг доменов и URL: Внедрить инструменты, способные анализировать и выявлять подозрительные ссылки, даже если они размещены на доверенных платформах, таких как Google Firebase или Google Translate.
-
Обучение пользователей: Проводить регулярные тренинги по распознаванию фишинговых атак, акцентируя внимание на том, что даже ссылки с известных доменов могут быть опасны.
-
Использование многофакторной аутентификации (MFA): Внедрять MFA для всех критичных систем, чтобы минимизировать риск компрометации учетных записей при утечке паролей.
-
Анализ внешней атакующей поверхности: Регулярно проводить аудит и мониторинг всех внешних сервисов и платформ, связанных с организацией, чтобы выявлять и устранять потенциальные векторы атак.
-
Настройка политики безопасности электронной почты: Использовать расширенные механизмы фильтрации и проверки ссылок, включая анализ поведения и контекста, а не только домена.
Фишинговые кампании, подобные GTFire, показывают, насколько важно для организаций иметь комплексный подход к управлению внешней атакующей поверхностью и постоянно адаптировать меры безопасности под новые методы злоумышленников. Только так можно эффективно защитить корпоративные данные и снизить риски успешных атак.
