Bắt đầu nội dung chính

Google Link đáng tin cậy có thể là một cuộc tấn công lừa đảo

Genady Vishnevetsky, Giám đốc An ninh Thông tin

Bốn móc có biểu tượng treo trên nền đỏ với mã nhị phân và biểu tượng khóa, minh họa các mối đe dọa lừa đảo như email giả mạo và biểu mẫu đăng nhập.

Lừa đảo bạn không thấy xuất hiện - Bởi vì nó có vẻ hoàn toàn an toàn

Hình ảnh này. 

Đó là tuần bận rộn nhất trong tháng. Bạn có ba giao dịch được xếp chồng lên nhau. Đóng cửa, xác nhận chuyển khoản, tài liệu vào phút cuối — mọi thứ đều đến hộp thư đến của bạn cùng một lúc. Sau đó, một thông báo bật lên với một nối kết đến một tệp được chia sẻ. 

Bạn kiểm tra URL, giống như bạn đã được đào tạo. Tất cả đều có vẻ ổn. Ảnh minh họa storage.googleapis.com. Có một ổ khóa. Nó bắt đầu với https. Tên của Google ở ngay đó. 

Mọi thứ có vẻ hoàn hảo. 

Bạn nhấp vào.  

Một trang đăng nhập xuất hiện. 

Những gì bạn không thấy là bạn đã được chuyển hướng - ngay lập tức - đến một trang web được kiểm soát bởi kẻ tấn công. Vào thời điểm biểu mẫu đăng nhập giả mạo được tải, tên miền của Google đã biến mất khỏi thanh địa chỉ của bạn. 

Và trong vài giây, thông tin của bạn nằm trong tay người khác. 

Cuộc tấn công này đang lan rộng nhanh chóng và các nhà nghiên cứu bảo mật nói rằng nó chỉ trở nên tinh vi hơn. 

Tội phạm mạng ngày càng biến các nền tảng đám mây đáng tin cậy thành bệ phóng cho các trò lừa đảo. Bằng cách dựng lên các trang web thuyết phục trên các tên miền có uy tín trong vài phút, họ đã vượt qua các danh sách chặn truyền thống và tận dụng uy tín của các nhà cung cấp nổi tiếng. Nếu bạn đang hỏi làm thế nào cloud hosting đang được sử dụng trong các cuộc tấn công lừa đảo, câu trả lời rất đơn giản: quy mô, tự động hóa và xây dựng niềm tin. Hướng dẫn này giải thích sự thay đổi, đám mây lưu trữ rủi ro bảo mật cần theo dõi và các bước thực tế bạn có thể thực hiện ngay bây giờ để bảo vệ người và dữ liệu của mình mà không làm chậm hoạt động kinh doanh.

Tại sao lừa đảo đã chuyển sang đám mây

Những kẻ tấn công đã di chuyển từ các máy chủ cá nhân bị xâm nhập sang các dịch vụ đám mây chính thống vì sự quen thuộc với thương hiệu, chứng chỉ TLS miễn phí và phân phối nội dung toàn cầu làm cho các trang của họ trông hợp pháp trong nháy mắt. Các dịch vụ thường bị lạm dụng bao gồm lưu trữ đối tượng và lưu trữ tĩnh, các chức năng không có máy chủ, trình tạo ứng dụng mã thấp, bộ cộng tác chia sẻ tài liệu và biểu mẫu và mạng phân phối nội dung. Ngay cả các công cụ rút ngắn liên kết với các tên miền đáng tin cậy cũng đang bị lạm dụng để che giấu các điểm đến.

Báo cáo ngành cho thấy sự tăng trưởng ổn định trong tấn công giả mạo trên đám mây, mạo danh ngân hàng, cổng thông tin bảng lương, công cụ nhân sự và ứng dụng năng suất. Lý do rất đơn giản: Cơ sở hạ tầng có thể được tạo và nghỉ hưu nhanh chóng, vì vậy việc phát hiện và gỡ bỏ thường làm chậm các chiến dịch hoạt động. Kẻ tấn công khai thác sự tin tưởng của người dùng trong các miền đám mây quen thuộc. Đây là tuyến đầu mới của các cuộc tấn công lừa đảo và nó làm nổi bật các rủi ro bảo mật lưu trữ đám mây khẩn cấp cần được chú ý.

Làm thế nào kẻ tấn công đang khai thác thương hiệu đáng tin cậy

Tội phạm mạng đã phát hiện ra một điều rất mạnh mẽ: Nếu bạn không thể đánh bại niềm tin, hãy mượn nó. Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra các chiến dịch lừa đảo đang chạy ở quy mô lạm dụng các dịch vụ lưu trữ đám mây hợp pháp.

Họ đã sử dụng nền tảng nào?

Trong các chiến dịch gần đây, kẻ tấn công đã tạo các thư mục bên trong các dịch vụ lưu trữ đám mây hợp pháp như: 

  • Google Cloud Storage - Dịch vụ lưu trữ riêng của Google 
  • Microsoft Azure 
  • Dịch vụ Web Amazon (AWS)

Bên trong các thư mục đó, họ đã tải lên các trang chuyển hướng nhỏ trông vô hại từ bên ngoài. Nhưng thời điểm bạn nhấp vào, bạn đã bị trả lại đến một trang web khai thác thông tin xác thực. 

Nó hoạt động như thế nào?

  • Liên kết bạn nhận được thực sự được lưu trữ trên Google 
  • Chứng nhận có hiệu lực 
  • Bộ lọc bảo mật nhìn thấy miền đáng tin cậy 
  • Không có gì có vẻ độc hại—cho đến khi bạn đã biến mất

Nếu tên thương hiệu thuyết phục bạn, chuyển hướng sẽ làm phần còn lại. 

Nhiều bộ lọc bảo mật email kiểm tra các liên kết chống lại cơ sở dữ liệu của các trang web độc hại đã biết. Khi một liên kết trỏ đến “storage.googleapis.com”, bộ lọc sẽ thấy Google và hiển thị nó thông qua việc gắn cờ nó là đáng tin cậy và có uy tín. Nó không bao giờ nhìn thấy nơi bạn thực sự kết thúc.

Tại sao điều này lại hiệu quả?

  • Liên kết bạn nhận được thực sự được lưu trữ trên Google
  • Chứng nhận có hiệu lực
  • Bộ lọc bảo mật nhìn thấy một miền tin cậy
  • Không có gì có vẻ độc hại—cho đến khi bạn đã biến mất

Nếu tên thương hiệu thuyết phục bạn, chuyển hướng sẽ làm phần còn lại. 

Nhiều bộ lọc bảo mật email kiểm tra các liên kết chống lại cơ sở dữ liệu của các trang web độc hại đã biết. Khi một liên kết trỏ đến “storage.googleapis.com”, bộ lọc sẽ thấy Google và hiển thị nó thông qua việc gắn cờ nó là đáng tin cậy và có uy tín. Nó không bao giờ nhìn thấy nơi bạn thực sự kết thúc.

Một sự tương đồng đơn giản

Hãy nghĩ về nó giống như nhận được một lá thư với một địa chỉ trả lại từ một công ty luật mà bạn biết. Dịch vụ bưu chính đã kiểm tra phong bì và đóng dấu an toàn. Nhưng bên trong là một ghi chú hướng bạn đến một nơi hoàn toàn khác. 

Mọi thứ dường như hợp pháp cho đến khi bạn âm thầm chuyển hướng đến một nơi khác.

Tại sao ngay cả các công cụ bảo mật hiện đại cũng bỏ lỡ các cuộc tấn công này

Kỹ thuật này thành công vì nó vượt qua các trạm kiểm soát mà chúng ta dựa vào và khai thác các lối tắt tin cậy, cả về con người và kỹ thuật. 

Hầu hết các bộ lọc email quét các liên kết ở phần còn lại, không phải sau khi chúng tải. 
 
Điều đó có nghĩa là:

  • Hệ thống chỉ thấy liên kết Google/Azure/AWS ban đầu 
  • Kiểm tra là “an toàn” 
  • Điểm đến chuyển hướng không bao giờ được phân tích 

Nói cách khác, trang web độc hại ẩn đằng sau một trang web hợp pháp và các công cụ bảo mật chỉ nhìn thấy cửa trước, không phải hành lang dẫn ra phía sau.

Đây không chỉ là vấn đề của Google

Điều này không chỉ giới hạn ở Google. 

Các nhà nghiên cứu đã tìm thấy kỹ thuật tương tự trên Microsoft Azure, Amazon Web Services và các nền tảng đám mây khác. Những kẻ tấn công không xâm nhập vào các dịch vụ này - họ đang sử dụng chúng như dự định và vay mượn niềm tin mà các thương hiệu đã xây dựng trong những năm qua. 

Miễn là một nền tảng cho phép người dùng lưu trữ nội dung, nó có thể bị lạm dụng theo cách này.

Tại sao điều này quan trọng đối với các giao dịch bất động sản

Đối với các ngành bất động sản và quyền sở hữu, cổ phần là rõ ràng. 

Một cuộc tấn công lừa đảo như thế này có thể dẫn đến:

Đây không phải là một mối phiền toái về CNTT. 

Đó là một mối đe dọa tài chính cấp độ giao dịch. 

Một thông tin xác thực bị đánh cắp có thể cung cấp cho kẻ tấn công quyền truy cập vào các hệ thống chạm vào tài khoản ký quỹ và hướng dẫn dây. Đó không phải là sự bất tiện mà là sự kiện gian lận chuyển khoản tiềm ẩn.

Những bài học thực tế: Làm thế nào để bảo vệ bản thân và các giao dịch của bạn

Đánh dấu trang đăng nhập của bạn

Đối với bất kỳ trang web nào mà bạn nhập thông tin đăng nhập — email, nền tảng dây, phần mềm sản xuất tiêu đề — hãy lưu dấu trang và sử dụng nó mọi lúc.  
 
Đừng dựa vào các liên kết từ email, ngay cả khi URL trông giống như Google.

Kiểm tra thanh địa chỉ sau khi tải trang

Nếu URL thay đổi thành thứ gì đó mà bạn không nhận ra, đặc biệt là sau khi nhấp vào liên kết tài liệu được chia sẻ, hãy đóng tab ngay lập tức.  

Phát triển thói quen xác minh URL trên BẤT KỲ trang nào bạn nhập thông tin đăng nhập.

Nghi ngờ lời nhắc đăng nhập không mong muốn

Các tài liệu đám mây hợp pháp thường không yêu cầu bạn nhập lại thông tin đăng nhập nếu bạn đã đăng nhập.  

Một màn hình đăng nhập xuất hiện sau khi bạn nhấp vào một liên kết sẽ nâng cao một lá cờ.

Kiểm tra thông qua kênh thứ hai

Bạn đã nhận được một liên kết từ một đồng nghiệp hoặc khách hàng đáng tin cậy?  

Một tin nhắn nhanh hoặc tin nhắn Teams—“Bạn vừa gửi cho tôi một liên kết Google?”— đến họ mất mười giây và loại bỏ hoàn toàn rủi ro.

Báo cáo Liên kết Đáng ngờ

Nếu có gì đó không ổn, hãy báo cáo.  

Báo cáo các liên kết đáng ngờ ngay cả khi tên miền có vẻ hợp pháp. Nhóm bảo mật của bạn cần khả năng hiển thị những nỗ lực này để bảo vệ người khác. Sử dụng nút “Báo cáo Email” khi có sẵn.

Những bài học chính về tấn công lừa đảo qua đám mây: Tin tưởng, nhưng xác minh

Toàn bộ chiến lược của kẻ tấn công hoạt động vì một lý do: Nó cho rằng bạn quá bận rộn để đặt câu hỏi liệu liên kết quen thuộc đó có phải là thật hay không. 

Trong một ngành công nghiệp được xây dựng trên sự tin tưởng giữa các đối tác, mất vài giây để xác minh không phải là ma sát, đó là công việc.

Đọc thêm các mẹo về an ninh mạng

Để biết thêm các thực tiễn tốt nhất về ngành và an ninh mạng của Stewart CISO, Genady Vishnevetsky, hãy xem các bài viết dưới đây: