官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
绿盟科技- 关注
情报背景
利用Google drive等可信云服务进行的网络钓鱼攻击活动日益增长,这种攻击手段利用了高可信度的云服务骗取受害者的信任,并且可以绕过基于域名的安全策略。
近期Avanan公司发现了一种新的邮件钓鱼方式,攻击者利用Google docs的评论功能实现钓鱼链接的投放,本文将对本次攻击中攻击者利用Google docs的评论功能投递钓鱼链接的方法进行分析研判。
组织名称 | 未知 |
组织编号 | 未知 |
关联组织 | 未知 |
相关工具 | 无 |
战术标签 | 初始访问 |
技术标签 | 钓鱼 邮件网关绕过 |
情报来源 | https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware |
01 攻击技术分析
亮点:利用谷歌官方邮件投递钓鱼链接
如下图,攻击者首先使用他们的 Google 账户创建一个 Google 文档,然后选择要发送的评论文字,并添加"@符号 受害者邮箱"的文档评论。
然后,Google 会向目标的收件箱发送一封官方通知电子邮件,如下图,该通知邮件的发件人地址为谷歌官方邮箱,这意味着绝大部分的邮箱不会把它标记为恶意邮件。
当受害者从收件箱打开时,由于通知邮件内容只会显示攻击者构造好的邮箱姓名和诱导性评论文字,这就导致受害者根本无法分清邮件的真实来源。
这种钓鱼链接投递技术还适用于Google Slide 和 Google Workspace 服务,下图为利用google slides的评论功能投递钓鱼链接。
02 总结
利用Google 等云服务来进行网络钓鱼攻击,已经不是一件新鲜事了。但是和以往的云服务利用不同,这种钓鱼邮件依托了谷歌官方邮件地址的高可信度,能躲避大多数现有的邮件防御规则。其次,这类钓鱼邮件的话术伪造十分容易,攻击者甚至都不需要目标访问共享云文档,因为邮件本身的内容已经具有相当的迷惑性。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
M01N Team
- 1639 文章数
- 335 关注者