אלפי ארגונים הותקפו בפישינג שהתחזה לרכיב לגיטימי בגוגל

יותר מ-3,000 ארגונים נפלו קורבן לקמפיין פישינג מתוחכם, שהתחולל בדצמבר האחרון. מסע המתקפות עשה שימוש בתשתית האפליקציות הלגיטימית של גוגל (Google), כדי להתחמק ממערכות אבטחת דואר אלקטרוני ארגוניות. המתקפה כוונה בעיקר לחברות ייצור. 

שחקני האיום שלחו הודעות מטעות מכתובת האימייל הרשמית של גוגל: [email protected].

מומחי אבטחה של רייבנמייל (RavenMail) – חברת אבטחה מהודו – היו מי שחשפו את המסע הזדוני. הם ציינו כי "קמפיין זה מייצג התפתחות משמעותית בטקטיקות של פישינג. התוקפים ניצלו את תשתית הפלטפורמה האמינה, במקום להסתמך על זיוף דומיינים 'מסורתי', או על שרתי דואר שנפרצו. כך הם עקפו את פרוטוקולי האימות של דואר אלקטרוני".

"ההאקרים בנו נקודת עיוורון קריטית" ומראית עין לגיטימית

לפי החוקרים, המיילים של הפישינג עברו בהצלחה את כל בדיקות האימות הסטנדרטיות, כולל SPF (מסגרת מדיניות שולח), DKIM (דואר מזוהה עם DomainKey), כמו גם DMARC (אימות הודעות מבוסס דומיין, דיווח ותאימות), ואימות CompAuth.

כך, הם הסבירו, "ההאקרים בנו נקודת עיוורון קריטית עבור כלי אבטחת דואר אלקטרוני מסורתיים, שמסתמכים על מנגנוני אימות אלה כדי לסנן הודעות זדוניות". לדבריהם, כיוון שהמיילים הגיעו ממערכות גוגל לגיטימיות, הם "קיבלו בירושה" את המוניטין של גוגל כ"שולח בעל רמת אמינות גבוהה", ואישור הלגיטימיות שלהם עבר בצורה אוטומטית ברוב תשתיות האבטחה הארגוניות.

שחקני האיום התחזו להתרעות לגיטימיות של Google Tasks, ויצרו הודעות שנראו כמשימות פנימיות, שדורשות אימות של עובד. הנמענים קיבלו הנחיות כמו "הצג משימה", ואלו הפנו אותם לדפים זדוניים המאוחסנים באחסון הענן של גוגל, Google Cloud Storage. לפי המחקר, המתקפה ניצלה שלוש פגיעויות יסודיות: תשתית שולח אמינה עם ציוני מוניטין גבוהים, התחזות מדויקת למותג, ששיחזרה את ממשק המשימות של גוגל בדיוק מרשים, ומטענים זדוניים המתארחים על דומיינים אמינים של Google Cloud Storage. 

"שילוב זה", הסבירו, "הפך את מערכות הזיהוי המבוססות על מוניטין ל-URL – ללא יעילות". 

החוקרים של רייבנמייל זיהו את הקמפיין על ידי ניתוח הכוונה וההקשר של זרימת העבודה – במקום להסתמך אך ורק על פרטי הכותרות של השולח. הגילוי התמקד באי-עקביות התנהגותית, כולל משימות פנימיות שמקורן בכתובות גוגל חיצוניות ונקודות קצה בענן – שאינן תואמות לפעולות Google Tasks הלגיטימיות.

"קמפיין זה משקף דפוס איום מתהווה", ציינו, "בו התוקפים מנצלים לרעה את שירותי הענן של גוגל – כמנגנוני הפצה למתקפות פישינג".

החוקרים סיכמו: "האירוע מדגיש פער קריטי במודלים המסורתיים של אבטחת דואר אלקטרוני, שהם מבוססי אמון. כל פלטפורמת SaaS אמינה בעלת יכולות שליחת דואר אלקטרוני – מהווה כעת וקטור תקיפה פוטנציאלי עבור שחקני איומים מתוחכמים. ארגונים חייבים לעבור מגישות אבטחה מבוססות מוניטין – למערכות זיהוי ממוקדות כוונה, שמנתחות את הלגיטימיות של זרימת העבודה וההתאמה של ההקשר, בלא קשר למוניטין של השולח. ארגונים חייבים ליישם כלים מתקדמים לניתוח התנהגות, כדי להגן מפני טכניקות ניצול התשתיות, המתבססות על האמון הטבוע בספקי שירותי ענן מרכזיים".