Oltalama Güvenliği: Saldırganlar Güvenliği Aşmak Google Hizmetlerini Kullandı – Oltalama saldırıları ve kurumsal E-posta Saldırıları (BEC) başlatmak amacıyla saldırganlar,  Formlar, Dokümanlar ve birçok hizmet dahil olmak üzere bir dizi Google Servislerini kullandılar. 

Araştırmalara göre, son zamanlardaki oltalama ve kurumsal e-posta saldırılarındaki  (BEC) artış, suçluların Google Hizmetlerini kullanmaya başylamasıyla ilişkilendirilebilir.

Covid-19 pandemisiyle birlikte evden çalışma prensiplerini benimseyen bir çok kurum, ücretsiz ve basit bir yol olarak , Google ürünlerini kullanmaya başladırlar. ANcak bunun farkınna varan siber saldırganlar, Google üzerinden nasıl saldırabileceklerini tasarlamaya başladılar. Araştırmalara göre,  Google Formlar, Google Dokümanlar ve diğer birçok hizmet, siber saldırganlar tarafından kullanılarak, sahte senaryolarla  hem güvenlik filtrelerinin geçilmesi amaçlanmış, hem de hedef kişiler ikna edilmeye çalışılmıştır.  

Özellikle açık API’ler, pdogram entegrasyonlari ve geliştirici araçları, sanal iş akışlarıyla tamamlanmış tüm sanal ofislerin bir Google ekosisteminde var olabilmesiyle, Google’ın bu açık doğası, siber  saldırganlar tarafından istismar edilmiştir. 

1- Google Formlar

Örneğin bir saldırıda, hassas bilgilerin ele geçirilmesi için  siber saldırganlar, bir Google Formu ve bir American Express logosu kullandı.  Araştırmalara göre, bir oltalama linkini bir Google Formunda barındırarak, ilk e-postanın bilinen kötü bağlantıları veya alan adını engelleyen tüm güvenlik filtrelerinden kaçması sağlanmıştır. 

Google’ın alan adı ise  güvenilir olduğundan ve Google formları çeşitli nedenlerle bir çok kurum tarafından kullanıldığından, hiçbir e-posta güvenlik filtresi bu bağlantıyı engellememektedir. 

Oltalama Güvenliği: Saldırganlar Güvenliği Aşmak Google Hizmetlerini Kullandı – Kaynak: Armorblox.

Araştırmaya göre, Google Formunun saldırganlara sosyal mühendislik stratejisinde yardımcı olduğunu belirtti. Araştırmacıların bulduğu başka bir saldırıda, servetini miras bırakabileceği birini arayan çocuğu olmayan bir dul kadından gelen hayali bir mektup kullanıldı. Bu saldırıda, e-postadaki bağlantı, boş bir soru alanı olan bir Google Formuna yönlendirir. 

Çoğu kişi bu içeriği inceledikten sonra bunun bu sahte form olduğunu anlasa da, bazı kişiler formda bulunan tek seçeneğe odaklanarak veya e-postada verilen adrese bir yanıt vererek saldırının kurbanı olmuşlardır.  

2- Google Dokümanlar ve Diğer Hizmetler

Araştırmalara göre, Google’ın mobil platformu olan Firebase de, bir kimlik avı sayfasını barındırmak için başka bir birşekilde kullanıldı. Bu şekilde yukarıda belirttiğimiz nedenlerden dolayı, saldırıların e-posta filtrelerinden kolaylıkla geçmesi salğlandı. Çünkü Firebase platfmu birçok kurum tarafından güvenilir olarak kabul edilmektedir. 

Araştırmacılara göre, Google hizmetleri tarafından barındırılan bir bordro sahtekarlığı dolandırıcılığında, bir sahte e-posta bağlantısı, alıcıları ödeme bilgilerini “onaylamaları” için bir Google Dokümanlar dosyasına göndermiştir. 

Yine bir başka saldırıda, hedef kullanıcılar, sözde kendi BT ekiplerinden gelen ve bir iş arkadaşından Microsoft Teams’deki güvenli bir mesajı incelemelerini isteyen bir e-posta almıştır. Ancak bu bağlantı, Google Sites’ta barındırılan sahte bir Office 365 giriş portalına sahip web sayfasına yönlendirmiştir. 

Araştırmacılar, özellikle yoğun saatelerde, örneğin e-postanın gönderildiği zaman dilimi olan sabah saatlerinde, bu saldırı gözden kaçabilmektedir. Çoğu kişi bunun gerçek bir Microsoft sayfası olduğunu varsayacaktır. 

3 – Google Hizmetlerini Ele Geçirme

Kötü niyetli kişilerin zararlı etkinlikleri hayata geçirmek amacıyla Google Hizmetlerinden yararlanmaları, tam teşekküllü bir eğilim olarak ortaya çıkmaya başlıyor.

Kasım ayının başında araştırmacılar, AT&T, Citibank ve Capitol One gibi markaların kimliğine bürünen 265 Google Forms saldırılarını ortaya koymuştu. BU saldırıları kullanan kötü niyetli aktörler, Hatta Internal Revenue Service ve Meksika Hükümeti gibi devlet kurumlarının hedef alan saldırılar ortaya çıkarılmıştı. 

Formlar, bazı  araştırmacılar tarafından bildirildikten sonra Google tarafından kaldırıldı.

Oltalama Güvenliği: Saldırganlar Güvenliği Aşmak Google Hizmetlerini Kullandı – Kaynak: Armorblox.

Yine dolandırıcılar, kurbanları kötü amaçlı bağlantıları tıklamaları için gerçek bir Google Drive hizmetini kullandı. 

Daha önce Google Takvim’ üzirenden saldıran siber saldırganlar, sahte, istenmeyen toplantı bildirimleri yoluyla mobil Gmail kullanıcılarını hedef alan karmaşık bir siber saldırılarda bulunmmuşlardı. 

Google, şirketin kötü niyetli aktörleri platformlarından uzak tutmak için her türlü önlemi aldığını vurguluyor. Google, yöntemler geliştikçe bu tür saldırıları engellemek için ek 

Ancak güvenlik sorumluluğu yalnızca Google’a ait değildir ve bütün kurumlar hassas verileri korumak için gerekli önlemleri almalıdır. 

Çalışanlar için Ücretsiz Kimlik Avı simülatörümüzü kullanın – Çalışanlarınızın kimlik avı güvenlik  açıklarını ücretsiz olarak test edin  . 

Keepnet  Ücretsiz  Kimlik Avı  simülatör aracı,  işletmelerin çalışanlarını kimlik avı saldırılarını tespit etmeleri ve bunları teknolojik önlemleri atlayarak kullanıcıların gelen kutusuna bildirmeleri için eğitmelerine yardımcı olur.

Yüzden Fazla  Kimlik Avı E-posta Şablonu

Keepnet kullanma  simülasyon yazılımı phishing ,  organizasyonlar sınırsız sayıda program edebiliyoruz  , simüle phishing testlerin  güvenlik açığının düzeylerini değerlendirmek için.  Düzenli olarak güncellenen kapsamlı ve özelleştirilebilir  kimlik avı e-posta şablon kitaplığı, Fidye Yazılımı, BEC, Balina Saldırıları, Tel dolandırıcılığı, CEO dolandırıcılığı,  Spear Phishing Saldırıları örnekleri,  Makro saldırıları.

Ücretsiz kimlik avı farkındalık eğitimimizi deneyin . 

Aşağıdaki diğer siber güvenlik bloglarımıza bakın: