F.A.C.C.T. : мошенники используют Looker Studio для фишинговых рассылок

Специалисты компании F.A.C.C.T., ведущего разработчика технологий для борьбы с киберпреступлениями,  зафиксировали использование в России новой мошеннической схемы, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google.

Впервые об этой проблеме сообщили исследователи из компании Checkpoint в сентябре 2023 года. И вот полгода спустя этот инструмент взяли на вооружение мошенники, работающие по России. Подробности — в новом блоге. 

Внешне письмо, отправленное злоумышленниками, ничем не отличается от того, что мы привыкли видеть в рассылке, сделанной в сервисе Google Looker Studio — это популярный онлайн-инструмент для преобразования данных в настраиваемые информативные отчеты.

В качестве отправителя письма указано имя пользователя, а  в качестве почтового адреса отправителя — looker-studio-noreply@google.com. Конечно, почту отправителя можно легко подделать, и аналитики F.A.C.C.T. уже не раз рассказывали о техниках, позволяющих это сделать. Однако электронная почта имеет механизмы защиты, такие как SPF и DKIM, позволяющие установить подлинность письма.

В данном случае SPF была проверена успешно, а DKIM-подпись google.com подтверждена. Более того, маршрут письма подтверждает, что его первоисточником был именно сервер компании Google.

Все это означает, что письмо, действительно, было сформировано одним из сервисов компании и не было кем-либо подделано. Однако тема сообщения про выплаты и онлайн-компенсации намекает внимательному пользователю о том, что мы столкнулись с мошенниками. Да, и сама ссылка в тексте данного письма совсем не безобидная. Она ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс, где жертву просят оставить логин и пароль для входа в личный кабинет онлайн-банка. В итоге пользователь может лишиться своих сбережений. 

Опасность данной тактики заключается в том, что вендоры информационной безопасности часто доверяют приложениям и сервисам Google и других крупных и именитых компаний, а благодаря уловкам вроде той, которую мы описали сегодня, злоумышленники могут эксплуатировать вполне легитимные сервисы для рассылки фишинга и скама.