Преступники обошли защитные системы энергетической компании, разместив вредоносное сообщение в облаке Google.
Эксперты обнаружили тщательно спланированную фишинговую атаку против неназванной энергетической компании. Преступники воспользовались легитимной функцией Google Drive, что обойти защитные системы и заманить сотрудников на вредоносную страницу.
Конечной целью кампании были учетные данные корпоративных пользователей. Злоумышленники разместили на облачном сервисе Google сообщение якобы от главы атакуемой организации. В тексте говорилось о некоем бизнес-проекте, к обсуждению которого приглашались сотрудники. За подробностями их направляли на следующую страницу, где и размещалась фишинговая форма.
Преступники отправили ссылку на файл через функцию «Поделиться». Этот легитимный механизм не вызывает вопросов у почтовых фильтров, а системы антифишинга не могут проверить контент, на который ведут такие уведомления. В результате организаторы кампании легко достучались до жертв.
Исследователи отмечают, что такие угрозы все же можно купировать автоматическими средствами. Продвинутые антифишинговые системы проверяют сайт, на который хочет перейти пользователь, и если домен зарегистрирован недавно, блокируют страницу.
Кроме того, внимательные пользователи могли сами заподозрить неладное. Хотя преступники постарались оформить фишинговое письмо в стиле целевой организации, корпоративный логотип и другие элементы оказались прошлогодними. Обратный адрес ложного гендиректора также не соответствовал принятым в компании правилам.
Не уточняя, удалось ли преступникам в итоге добиться своей цели, эксперты заключают, что такие атаки показывают важность обучения пользователей основам ИБ. Исследования показали, что такие курсы повышают компетенции сотрудников, причем эти знания не пропадают и через год. Впрочем, работники энергетических предприятий демонстрируют худшие способности к усвоению, чем пользователи из других отраслей.
Ранее в этом месяце ИБ-эксперты засекли направленные атаки на американскую промышленность. Предприятия из сферы ЖКХ попали под удар RAT-трояна LookBack, способного делать снимки экрана, следить за перемещениями мыши, отправлять на компьютер команды и читать системные данные.