Το τελευταίο διάστημα, παρατηρείται ένα νέο κύμα επιθέσεων BazarCall που χρησιμοποιεί Google Forms για να δημιουργήσει και να στείλει αποδείξεις πληρωμής στα θύματα, σε μια προσπάθεια να φανεί η phishing απόπειρα πιο νόμιμη.
BazarCall έχει ονομαστεί μια επίθεση phishing που εντοπίστηκε για πρώτη φορά το 2021. Ξεκινά με ένα email που μοιάζει με ειδοποίηση πληρωμής ή επιβεβαίωση συνδρομής σε κάποιο λογισμικό ασφαλείας, streaming πλατφόρμες κλπ.
Το email προσπαθεί να προκαλέσει πανικό στον παραλήπτη αναφέροντας ότι έγινε μια αυτόματη ανανέωση της συνδρομής σε ένα εξωφρενικά ακριβό πακέτο/πρόγραμμα και ζητά από το χρήστη να την ακυρώσει εάν δεν θέλει να χρεωθεί.
Ωστόσο, αντί για έναν σύνδεσμο προς έναν ιστότοπο, το email περιέχει έναν αριθμό τηλεφώνου για να επικοινωνήσει ο παραλήπτης με έναν υποτιθέμενο αντιπρόσωπο εξυπηρέτησης πελατών και να ακυρώσει τη συνδρομή.
Οι κλήσεις απαντώνται από έναν κυβερνοεγκληματία που προσποιείται ότι είναι υπάλληλος υποστήριξης πελατών και ξεγελά τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές τους καθοδηγώντας τα σε μια παραπλανητική διαδικασία.
Το κακόβουλο λογισμικό που μολύνει τις συσκευές είναι το BazarLoader και όπως υποδηλώνει το όνομα, είναι ένα εργαλείο για την εγκατάσταση πρόσθετων κακόβουλων payloads στο σύστημα του θύματος.
BazarCall επίθεση: Κατάχρηση Google Forms
Η εταιρεία Abnormal αναφέρει ότι αντιμετώπισε μια νέα παραλλαγή της επίθεσης BazarCall, η οποία πλέον καταχράται Google Forms.
Το Google Forms είναι ένα δωρεάν διαδικτυακό εργαλείο που επιτρέπει στους χρήστες να δημιουργούν προσαρμοσμένες φόρμες και κουίζ, να τα ενσωματώνουν σε ιστότοπους, να τα μοιράζονται με άλλους κ.λπ.
Σε αυτή την επίθεση BazarCall, οι επιτιθέμενοι δημιουργούν ένα Google Form με τα στοιχεία μιας ψεύτικης συναλλαγής (π.χ. αριθμό τιμολογίου, ημερομηνία και τρόπο πληρωμής κλπ). Στη συνέχεια, ενεργοποιούν την επιλογή “response receipt” στις ρυθμίσεις, η οποία στέλνει ένα αντίγραφο της συμπληρωμένης φόρμας στην υποβληθείσα διεύθυνση email.
Έτσι, ουσιαστικά οι hackers εισάγουν τη διεύθυνση email του στόχου και το αντίγραφο της συμπληρωμένης φόρμας, που μοιάζει με επιβεβαίωση πληρωμής, και γίνεται αποστολή στο στόχο από τους διακομιστές της Google.
Είναι εύκολο να πέσει κάποιος στην παγίδα, αφού το Google Forms είναι μια νόμιμη υπηρεσία και τα εργαλεία ασφαλείας ηλεκτρονικού ταχυδρομείου δεν θα επισημάνουν το email ως phishing. Επίσης, το γεγονός ότι το email προέρχεται από μια διεύθυνση Google (“[email protected]”) του προσδίδει επιπλέον νομιμότητα.
Το αντίγραφο του τιμολογίου περιλαμβάνει τον αριθμό τηλεφώνου του επιτιθέμενου, τον οποίο οι παραλήπτες πρέπει να καλέσουν εντός 24 ωρών για να ακυρώσουν την πληρωμή.
Η Abnormal δεν έδωσε περισσότερες λεπτομέρειες για τα μεταγενέστερα στάδια της επίθεσης. Ωστόσο, η phishing επίθεση BazarCall χρησιμοποιήθηκε στο παρελθόν για αρχική πρόσβαση σε εταιρικά δίκτυα, οδηγώντας σε επιθέσεις ransomware.
Δεδομένου ότι η επίθεση ξεκινά με ένα phishing email, είναι φανερό ότι πρέπει να είμαστε πολύ προσεκτικοί και να λαμβάνουμε μέτρα για την πρόληψη τέτοιων επιθέσεων:
Ένας τρόπος προστασίας από phishing emails είναι να είμαστε προσεκτικοί με τα email που λαμβάνουμε. Πρέπει να εξετάζουμε προσεκτικά τον αποστολέα του email και να είμαστε επιφυλακτικοί με οποιαδήποτε ανεπιθύμητη ή ύποπτη αλληλογραφία.
Ένας άλλος τρόπος προστασίας είναι να μην απαντούμε σε ύποπτα email και να μην κάνουμε κλικ σε συνδέσμους ή συνημμένα που περιέχονται σε αυτά. Ακόμα και αν φαίνονται αξιόπιστα, είναι καλό να επιβεβαιώνουμε την πηγή του email πριν ανταποκριθούμε ή προχωρήσουμε σε οποιαδήποτε ενέργεια.
Επιπλέον, μια καλή πρακτική είναι να ενημερωνόμαστε για τα τελευταία χαρακτηριστικά των phishing emails και τις τακτικές που χρησιμοποιούν οι κακόβουλοι αποστολείς. Με την αύξηση της επίγνωσης, μπορούμε να αναγνωρίζουμε πιο εύκολα τα ύποπτα μοτίβα και να αποφεύγουμε να πέσουμε θύματα απάτης.
Τέλος, η χρήση ενημερωμένου και αξιόπιστου λογισμικού ασφαλείας μπορεί να μας βοηθήσει να ανταποκριθούμε αποτελεσματικά σε phishing emails. Τα antivirus και anti-phishing προγράμματα μπορούν να ανιχνεύουν και να μπλοκάρουν ανεπιθύμητα email προτού φθάσουν στα εισερχόμενα μας.
Πηγή: secnews.gr
