Самая большая опасность — письма формируются на реальном сервере
Мошенники начали использовать новую для России схему, которая позволяет отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google — Looker Studio. Об этом «Известиям» рассказали в компании F.A.C.C.T., которая выявила канал, через который злоумышленники похищают данные граждан, а затем и деньги со счетов. В рассылках предлагается получить выплату или онлайн-компенсацию. Опасность схемы в том, что письмо формируется на реальном сервере сервиса Google, то есть действительно направляется с него потенциальной жертве. А люди, как и IT-решения по защите от киберугроз, привыкли доверять тому, что приходит от международного гиганта.
Проверка подлинностью
До России добралась новая мошенническая схема, которая позволяет отправлять фишинговые ссылки от имени Google Looker Studio (популярный онлайн-инструмент для преобразования данных в удобные и красивые отчеты). Но вместо отчетов люди получают единственный слайд, который информирует о том, что им положены онлайн-компенсации или выплаты.
Впервые об этой проблеме сообщили исследователи из компании Checkpoint осенью 2023 года. И вот полгода спустя этот инструмент взяли на вооружение злоумышлен
Как пояснил руководитель отдела анализа сетевого трафика и машинного обучения компании Антон Афонин, внешнее письмо, отправленное мошенниками, ничем не отличается от того, что мы привыкли видеть в рассылке, сделанной в Google Looker Studio. В качестве почтового адреса отправителя указывается looker-studio-noreply@google.com.
Конечно, почту отправителя можно легко подделать, но в данном случае проверка показала, что первоисточником был именно сервер компании Google, отметил Антон Афонин.
— Всё это означает, что письмо, действительно, было сформировано одним из сервисов компании и не было кем-либо подделано, — подчеркнул он.
При этом в теме сообщения указано, что оно касается выплат и онлайн-компенсаций. Это уже должно насторожить получателя, что он столкнулся с мошенниками, обратил внимание эксперт.
— Да и сама ссылка в тексте данного письма совсем не безобидная. Она ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс, — продолжил собеседник редакции.
В компании привели и реальные примеры таких рассылок. Так, человек видит слайд «К получению 28 тыс. рублей». И далее — комментарий, что для зачисления средств нужно выбрать банк, которым человек пользуется, и тогда выплата поступит единоразово на счет. Конечно, страницы всех кредитных организаций являются фишинговыми и создаются исключительно для краж с карт граждан. В этом легко убедиться, просто взглянув на домены, на которых размещаются сайты. Естественно, они не соответствуют оригиналу.
Далее всё по классике: человек вводит свои данные, которые перехватывают злоумышленники. Следующий шаг — похищение денег со счетов.
Без умысла, но с последствиями
Но как же так вышло, что компания Google отправила фишинговое письмо пользователю?
— Разумеется, никакого злого умысла сотрудники международной IT-корпорации не преследовали. Всё дело в лазейке, которая присутствует в одном из ее продуктов, а именно в Google Looker Studio. Она-то и позволяет злоумышленникам отправить письмо с любым содержимым от имени IT-гиганта, — объяснил Антон Афонин.
Очень важно, что делая свои фальшивые рассылки под видом отчетов, созданных на популярном сервисе Google, аферисты так используют его уязвимость, что содержимое становится практически невидимым для решений информбезопасности (ИБ).
— Опасность данной тактики заключается в том, что вендоры информационной безопасности часто доверяют приложениям и сервисам Google и других крупных именитых компаний. А благодаря уловкам злоумышленники могут эксплуатировать вполне легитимные сервисы для рассылки фишинга и скама, — отметил эксперт.
Важно также и то, что рассылка как две капли воды похожа на сообщения от официального сервиса Google, поэтому вызывает большое доверие у жертвы. Бдительность человека притупляется, он переходит по ссылке и оставляет свои учетные данные, что приводит к потере средств со счетов.
Несмотря на обращения компании и экспертов из Checkpoint, Google пока не приняла меры для нейтрализации этой схемы. Пока защита сейчас полностью в руках самих пользователей, которых должна насторожить именно тема письма о получении компенсации, а также просьба ввести учетные данные на подозрительном ресурсе.
«Известия» в воскресенье, 7 апреля, направили запрос в российскую пресс-службу Google, но не получили ответа. Также издание запросило ЦБ.
Отправить в игнор
Чтобы защититься от финансовых потерь и кражи данных, пользователям не стоит открывать письма, в теме которых фигурирует любая форма выгоды, поддержала куратор платформы «Мошеловка» Евгения Лазарева. Она также рекомендует для надежности перейти на использование российских сервисов, поисковиков, браузеров.
— Проблема заключается в том, что всё еще большое количество пользователей не осознают проблем зарубежных IT-компаний с безопасностью и продолжают слепо доверять их сервисам. Между тем, модерация и бреши в безопасности у Google для российского сегмента не в приоритете. Большинство вредоносных ссылок в подобных рассылках зарегистрированы не в российском сегменте интернета, — пояснила она.
И уточнила, что это создает препятствия для защиты пользователей, расследования случаев заражения или кражи данных, а о возврате потерь речи вообще не идет. В результате фишинговые рассылки в зарубежных сервисах наносят колоссальный вред не только населению, но и экономике в целом, подчеркнула Евгения Лазарева.
По мнению ведущего исследователя лаборатории блокчейн и финтех Школы управления «Сколково» Екатерины Семериковой, пользователи остаются наиболее уязвимым местом с точки зрения информбезопасности.
— Обычно люди привыкли доверять официальным рассылкам от провайдеров цифровых услуг. Особенно от больших технологических компаний, по типу Google, Apple или «Яндекс». Поэтому когда письмо приходит с официального почтового ящика, то человек, открывающий его автоматически, скорее, перейдет и выполнит те действия, которые его просят сделать, — отметила она.
Эксперт из «Сколково» уверена, что нужно формировать у людей критическую оценку содержимого письма.
Но этого недостаточно. Как сообщила Евгения Лазарева, «Мошеловка» получает огромный поток жалоб на фишинг в сервисах и рекламе Google.
— В январе 2021 года проводили специальный мониторинг по фишингу, распространяемому продуктами этой компании, и выявили только за месяц около 30 тыс. ссылок. По итогам мониторинга мы обращались к правительству с предложением приравнять распространение вредоносных ссылок через сервисы и рекламную выдачу к распространению запрещенного контента и назначать за эту деятельность оборотные штрафы. Но пока, к сожалению, вопрос до сих пор находится на стадии обсуждения, — рассказала куратор «Мошеловки».
И еще раз подчеркнула, что крупные интернет-корпорации должны нести финансовую ответственность за распространение контента, независимо от того, к какой юрисдикции она принадлежит.