Nelle ultime settimane CheckPoint avrebbe assistito a più di un centinaio di attacchi di phishing che coinvolgono Google Looker Studio, il noto strumento che consente di convertire presentazioni e fogli di calcolo in diagrammi e grafici. I criminali informatici lo starebbero utilizzando per creare false pagine che promuovono investimenti in criptovaluta progettate in realtà per rubare denaro e credenziali sfruttando l’ingegneria sociale e un dominio Google.
Lo schema d’attacco
Come illustrato in un video dimostrativo, l’attacco inizia con un’e-mail che proviene direttamente da un server SMTP legittimo di Google (data-studio.bounces.google.com), con all’interno un report creato con Google Looker Studio, in cui si afferma che seguendo la strategia di investimento proposta tramite link, gli utenti hanno ottenuto ottimi risultati.
Facendo click sul link la potenziale vittima verrà reindirizzata ancora una volta verso una pagina legittima di Google Looker inducendo con urgenza a visitare la pagina di phishing finale progettata per rubare le credenziali.
Sfruttamento di servizi legittimi e collaborazione inconsapevole delle vittime
Questa campagna mostra come i criminali utilizzano servizi legittimi per superare i controlli di autenticazione della posta elettronica SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC, lasciando che nessuna azione di blocco venga intrapresa da questi filtri di protezione.
“Questo è un modo lungo per dire che gli hacker stanno sfruttando l’autorità di Google. Un servizio di sicurezza e-mail esaminerà tutti questi fattori e avrà la certezza che non si tratti di un’e-mail di phishing e che provenga da Google. E lo fa! Poiché l’attacco è annidato così in profondità, tutti i controlli standard passeranno a pieni voti.“, spiega Jeremy Fuchs analista di Check Point Software e conclude “Ora, ciò richiede la collaborazione da parte dell’utente, per scorrere tutti i collegamenti e inserire le informazioni richieste. Non tutti gli utenti lo faranno. Ma come diciamo spesso, basta un solo attacco riuscito.”
Check Point riferisce di aver responsabilmente contattato Google per informare di questa campagna il 22 agosto.