Una delle colonne portanti di tantissime tecniche di social engineering consiste nell’acquisire la fiducia della vittima: adesso, secondo quando scoperto dai ricercatori di Zimperium, nell’arsenale dei criminal hacker è anche entrato l’utilizzo di tool legittimi come Google Forms per portare a termini attacchi di account takeover e phishing di credenziali.
D’altronde, vedere il dominio “google.com” all’interno di un URL automaticamente ci dà fiducia su quanto stiamo cliccando. È abbastanza normale.
Ma questa fiducia a prescindere potrebbe costarci caro, soprattutto in termini di sicurezza del nostro account.
Indice degli argomenti
Phishing e smishing attraverso Google Forms: il caso
Secondo quanto scoperto, un gruppo di criminal hacker ha utilizzato più di 200 tipi diversi di template di Google Forms, parte del pacchetto software cloud di Google Docs, impersonando al contempo più di 25 brand, aziende e agenzie governative.
Questo, di per sé, non sorprende: non solo i Google Forms sono molto facili da customizzare, ma hanno anche il vantaggio di essere ospitati automaticamente sotto il dominio google.com.
Se è vero che molti di noi sono in grado di accorgersi di un tentativo di truffa tramite domini sospetti che fanno leva sul typosquatting, quando quell’URL è docs.google.com non è difficile immaginare come questa falsa garanzia possa giocare un brutto scherzo.
Tra l’altro, essere ospitati sotto un dominio di Google evita il rilevamento da parte dei filtri anti-phishing basati sulla reputazione.
Dopotutto, Google è probabilmente il dominio più riconoscibile che esista.
Di fatto, questo “trucco” bypassa un’altra best practice aurea quando si tratta di sicurezza online. Tutti i domini Google, infatti, sono dotati di HTTPS (la cui mancanza, solitamente, è uno degli indicatori principali quando andiamo a cercare possibili segnali di un tentativo di phishing).
Come se non bastasse, il nostro browser avrà probabilmente tutti i domini di google.com in whitelist.
Phishing e smishing attraverso Google Forms: i brand esca
I moduli di Google Forms incriminati sono collegati a vari marchi, tra cui AT&T, BT Group, Capital One, Citibank, IRS, OneDrive, Outlook, Office 365, Swisscom, T-Mobile, Wells Fargo e Yahoo.
Questi moduli hanno utilizzato il corporate branding per infondere ulteriore fiducia nel destinatario, anche se la mancata corrispondenza tra il presunto mittente e il dominio di google.com dovrebbe destare qualche sospetto.
Come, tra l’altro, il fatto che i 256 moduli che i ricercatori hanno identificato – chiedendo l’invio delle credenziali utente per il login – avessero un’avvertenza alla base che dichiarava: “Non inviare mai le password attraverso i moduli di Google”.
Questo avviso viene aggiunto automaticamente da Google ad ogni modulo Forms creato.
Ci sono stati altri segnali che indicavano che questi moduli non erano legittimi: il pulsante finale che diceva di inviare le credenziali invece che di effettuare il login e il campo di inserimento della password non era nascosto da asterischi.
Segnali inconfutabili per gli addetti del settore cyber security, ma non poi così sospetti per l’utente medio.
Il tramite per condurre a termine l’attacco
In base al tipo di phishing e alle informazioni richieste, questi link sono stati molto probabilmente distribuiti via e-mail o SMS, utilizzando il classico “aggiorna la tua password”.
È probabile, secondo quanto dicono i ricercatori, che l’aggressore abbia usato precedenti data breach per ottenere le informazioni di contatto come e-mail e numeri di telefono; questo potrebbe anche spiegare la targhettizzazione attraverso brand mirati.
I link ai moduli di Google sono rimasti attivi per diversi mesi dopo essere stati aggiunti alle banche dati pubbliche di phishing, ma ora sono stati tutti cancellati dopo la segnalazione da parte dei ricercatori.
Come difendersi dalla nuova minaccia
Non dovremmo dare per scontato che organizzazioni come Google possano gestire tutti gli aspetti della sicurezza su tutti i loro servizi, soprattutto quando offrono servizi così open-ended.
Google potrebbe potenzialmente imporre politiche più severe per quanto riguarda le modalità di utilizzo di tali servizi, ma questo potrebbe essere difficile da ottenere in quanto garantire la compliance potrebbe condurli nel pericoloso territorio della lettura e del controllo di ogni documento, che violerebbe la privacy di milioni di utenti di Google Doc.
Non tutti gli attacchi di phishing sono molto sofisticati, ma in questo caso un modulo di Google è stato sufficiente per ingannare le persone.
Cercare di prevenirli con l’aggiunta di notifiche più esplicite da parte di Google o attraverso controlli tecnologici può aiutare, ma la prima linea di difesa deve rimanere la consapevolezza dell’utente nei confronti delle minacce.
Il che significa diffidare di tutte le e-mail e dei link in esse contenuti, soprattutto se vengono richieste informazioni personali e soprattutto fare ricorso a costante e regolare attività di formazione e awareness nei confronti di queste minacce.
Non abbassiamo la guardia.
