Опрос с подвохом: сервисы Google применяют для рассылки фишинга
Мошенники стали пользоваться легальным функционалом Google-опросов для отправки фишинговых ссылок россиянам: они размещают вредоносный контент в теле опросов, а затем применяют функцию «отправить ответы на почту», куда вводят адрес потенциальной жертвы. Об этом «Известиям» рассказали в «Лаборатории Касперского». О схеме известно в крупнейших банках и в других компаниях, специализирующихся на кибербезопасности. Этот сценарий несет высокие риски, поскольку люди доверяют сервисам корпорации и такие письма реже попадают в спам, пояснили эксперты.
Всё легально
Во второй половине 2021 года участились случаи, когда злоумышленники использовали в своих схемах сервисы Google, сообщил «Известиям» руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко. В частности, по его словам, мошенники стали массово пользоваться для отправки вредоносных ссылок опросами, созданными с помощью сервиса Google Forms.
— Злоумышленник создает опрос в Google Forms с единственным вопросом. После этого он сам же «проходит» опрос, вписывая в поле ответа ссылку на фишинговый ресурс и фразу вроде «Вам полагается компенсация средств», после чего указывает почту жертвы как контакт для получения уведомления о прохождении опроса. В результате человеку приходит уведомление об успешном прохождении опроса с «ответами» (которые представляют собой сообщение с фейковым контентом и ссылкой от злоумышленника), — пояснил Алексей Марченко.
Он добавил, что были известны случаи использования в противоправных целях и других сервисов Google, таких как «Календарь» или «Документы». Так человека мотивируют перейти на фишинговый или скам-ресурс, где его могут попросить ввести личные данные, ознакомиться с условиями предложения (разумеется, фейкового), указать данные банковской карты (например для перевода «комиссии» — в среднем в 200–300 рублей — за выплату компенсации), пояснил эксперт.
В Google оперативно не ответили на вопрос «Известий» о том, знают ли в компании об использовании Google-опросов для рассылки фишинга.
Обещание выплат или компенсаций — одна из распространенных схем мошенников: под этим предлогом они могут совершать звонки или направлять ссылки на фишинговые сайты, напомнили «Известиям» в ЦБ. Однако в регуляторе подчеркнули, что вне зависимости от легенды злоумышленники пытаются убедить человека сообщить свои персональные сведения, данные банковской карты или пароль из SMS, а также — самостоятельно осуществить платеж на некий счет.
— Банк России рекомендует гражданам сохранять бдительность и не сообщать данные банковских карт посторонним лицам, под каким бы предлогом или способом (телефонный звонок, сайт, электронное письмо) их ни пытались узнать, — заявили в ЦБ.
Доверие и спам-фильтр
Ограничение доступа к мошенническим (в том числе фишинговым) ресурсам осуществляется Роскомнадзором на основании поступившего в ведомство решения суда, сообщили «Известиям» в службе. Там подсчитали, что с 2020 года по настоящее время было удалено или заблокировано 3723 фишинговых ресурса с недостоверной информацией. Из них: в 2020 году — 392, в 2021-м — 3295, в 2022-м — 36 ресурсов, уточнили в Роскомнадзоре. В службе также напомнили, что с 1 декабря 2021 года был введен механизм блокировки мошеннических сайтов в финансовой сфере по инициативе Банка России.
О рассылке фишинга с помощью сервиса Google Forms знают в Росбанке, ВТБ, ПСБ, Райффайзенбанке, «Ренессанс Кредите», сообщили «Известиям» их представители. По существу, этот сценарий обмана идентичен схеме с рассылкой вложений и просьб о материальной помощи — усложняется лишь подход с использованием Google-ресурсов, уточнили в УБРиР. В Почта Банке напомнили, что раньше мошенники использовали Google-календарь: присылали приглашения на фейковые встречи с фишинговыми ссылками, которые также пропускал спам-фильтр.
Использование таких легальных узнаваемых сервисов повышает доверие клиентов к получаемой корреспонденции, опасаются в ВТБ.
— Google Forms — универсальный инструмент для создания форм и опросов, который, к сожалению, активно используется спамерами для сбора персональных данных пользователей и вредоносной рассылки. Использование этого сервиса мошенниками прежде всего направлено на обход спам-фильтра, — добавил директор департамента информбезопасности Росбанка Михаил Иванов.
Еще один риск подобных фишинговых рассылок — размещение вредоносного программного обеспечения на компьютере жертвы, напомнили в «Зените»: переходя по неизвестной ссылке пользователь позволяет скрипту закачать и развернуть ПО для удаленного управления компьютером, тогда он становится агентом так называемой сети ботов, а его вычислительные мощности могут использоваться для совершения DDoS-атак. Также вредоносное ПО может самостоятельно скачивать и устанавливать другие программы — например, для слежки за пользователем через видеокамеру или для перехвата нажатий клавиш для получения паролей от личных кабинетов, добавили в банке.
Доставка спама и фишинга через сервисы Google особенно опасна, поскольку доверчивые пользователи ведутся на них охотнее, думая, что их автором выступает сама корпорация, сетует специалист департамента анализа защищенности Digital Security Александр Багов. Аналитик Positive Technologies Федор Чунижеков добавил, что злоупотребление возможностями легитимных сервисов, в том числе Google, упрощает проведение атаки — для создания форм не требуется больших усилий и умений.