KR. Laboratories 🇺🇦<p>ЯК ПРАЦЮЄ ФІШИНГ З GOOGLE FORMS?</p><p>Після останньої публікації про фішинову схему з Google Forms, ми вирішили самостійно протестувати її, і переконалися, що вона працює.</p><p>Proof of Concept:</p><p>1. Зловмисник має обліковий запис Google і переходить в сервіс створення веб-форм Google Forms, де створює нову форму.<br>2. Оформлює форму як легітимне (фішингове) повідомлення від Google. Змінюємо всі кольори на білий. Текст ставимо нібито від імені техпідтримки, використовуючи легітимний стиль. Наприклад: <br>"Ми попередили несанкціоновану спробу входу у Ваш обліковий запис" або щось у тому роді. Можна вказати що-завгодно, будь-яку приманку, навіть QR-код з посиланням.<br>3. Додаємо поле для збору email.<br>4. Переходимо в налаштування форми Google Forms і вмикаємо обов'язково опцію "Дублювати відповіді респондента на його ел. пошту". <br>5. Надсилаємо цю форму самому собі на email. <br>6. Отримуємо, відкриваємо листа і заповнюємо поле, де треба вказати електронну пошту, але увага: вказуємо НЕ СВОЮ, а пошту жертви.<br>5. Google як ні в чому не бувало відправляє жертві на вказану зловмисником пошту (без жодної її участі) електронного листа з офіційного домену google[.]com.<br>6. Далі розгублену жертву зловмисники просто включають в оперативну розробку. </p><p>На нашу думку, цю "лавочку" варто було б прикрити... Тому що тут явно кульгає логіка безпеки.</p><p>Хоча, чесно кажучи, таких схем в екосистемі Гугла десятки... (наприклад, схема з дорвеями) І ніхто не спішить їх викривати, щось змінювати. А значить комусь це вигідно (?).</p><p><a href="https://infosec.exchange/tags/google" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>google</span></a> <a href="https://infosec.exchange/tags/phishing" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>phishing</span></a> <a href="https://infosec.exchange/tags/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>кібербезпека</span></a> <a href="https://infosec.exchange/tags/poc" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>poc</span></a> <a href="https://infosec.exchange/tags/googleforms" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>googleforms</span></a> <a href="https://infosec.exchange/tags/cybercrime" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>cybercrime</span></a> <a href="https://infosec.exchange/tags/cybersecurityh" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>cybersecurityh</span></a> <a href="https://infosec.exchange/tags/infosec" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>infosec</span></a> <a href="https://infosec.exchange/tags/infosecurity" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>infosecurity</span></a> <a href="https://infosec.exchange/tags/%D1%84%D1%96%D1%88%D0%B8%D0%BD%D0%B3" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>фішинг</span></a> <a href="https://infosec.exchange/tags/bazarcall" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>bazarcall</span></a></p>