Zaufana domena jako zasłona dymna
Na pierwszy rzut oka wygląda to jak zwykła wiadomość e-mail z fakturą do opłacenia. Kliknięcie w link przenosi użytkownika na stronę, która wygląda znajomo – jak ekran logowania Google lub innej znanej usługi. Nic nie wskazuje na to, że to pułapka. I właśnie o to chodzi. Złudzenie autentyczności to dziś najskuteczniejsza broń cyberprzestępców. Zespół badaczy z Cofense odkrył, że przestępcy coraz chętniej wykorzystują platformę Google Apps Script, tworząc za jej pomocą złośliwe strony phishingowe. To środowisko, które samo w sobie jest legalne i od lat służy użytkownikom do automatyzowania zadań w ramach usług Google Workspace. Jednak ten sam system umożliwia także opublikowanie dowolnego skryptu jako aplikacji webowej pod zaufaną domeną Google – „script.google.com”. W efekcie ofiara otrzymuje link, który wygląda wiarygodnie, bo prowadzi do strony w domenie Google. Nie pojawiają się żadne ostrzeżenia ani komunikaty o potencjalnym zagrożeniu – większość filtrów bezpieczeństwa uznaje takie adresy za bezpieczne. A jednak to właśnie tam znajduje się fałszywy formularz logowania, gotowy przechwycić wprowadzone dane. Po wpisaniu loginu i hasła użytkownik zostaje przekierowany do autentycznej usługi, co dodatkowo usypia jego czujność.
Nowe narzędzie w arsenale phishingu
Wszystko wskazuje na to, że Google Apps Script stało się kolejnym celem przestępców, którzy szukają bezpiecznych dla siebie, trudnych do wykrycia kanałów do przeprowadzania ataków. W tym przypadku mają do dyspozycji nie tylko wiarygodną domenę, ale także pełną kontrolę nad kodem skryptu. Mogą go zdalnie aktualizować, zmieniać jego zawartość, podmieniać przynęty – i to bez konieczności wysyłania nowego linku. To elastyczność, której wiele konwencjonalnych narzędzi phishingowych po prostu nie oferuje. Cyberprzestępcy mogą więc dopasowywać kampanię do aktualnych wydarzeń – jednej grupie wysłać wezwanie do zapłaty za fakturę, innej przypomnienie podatkowe, a wszystkim podsunąć identyczny, profesjonalnie przygotowany formularz logowania.
Cofense alarmuje, że ten model ataku nie tylko się rozwija, ale i wymyka się spod kontroli. Z powodu niskiego progu wejścia – do uruchomienia skryptu wystarczy jedynie konto Google – każdy może przygotować taki phishingowy scenariusz bez większego wysiłku. Co więcej, Google Apps Script działa w pełni w chmurze, bez konieczności posiadania serwera ani infrastruktury. Na razie nie wiadomo, czy Google podejmie jakiekolwiek kroki, by utrudnić wykorzystywanie swojej platformy w ten sposób. Firma została zapytana o ustalenia Cofense, ale do tej pory nie udzieliła odpowiedzi.
