Google Документы используются многими компаниями. Особенно они стали популярны с переходом сотрудников на удаленную работу. Поэтому большинство пользователей уже привыкли к электронным письмам с уведомлениями о добавленных в Google Docs комментариях, и смело переходят по ссылкам, не ожидая подвоха.
Этим воспользовались хакеры, придумав схему фишинговых атак: они используют функцию комментирования в Google Docs для рассылки электронных писем от имени Google Документов.
В результате, обманув Google, хакеры превратили сервис в распространителя вредоносных программ. Сервисы безопасности электронной почты не видят в этих письмах угрозы и не помечают их как потенциально опасные. Пользователь спокойно открывает письмо, а затем кликает на ссылку, сопровождающую оставленный комментарий к документу, после чего у него могут украсть пароли, номера карт и банковских счетов, а также другую конфиденциальную информацию.
Рассылка писем со ссылками на документы и фишинговыми ссылками в комментариях началась еще в октябре 2021 года. Google пытался разобраться с проблемой, но до сих пор не смог полностью устранить уязвимость. Тем временем хакерские атаки через сервис Google Docs набирают обороты. За ситуацией следят специалисты по кибербезопасности Avanan, которые предупредили об опасности через издание Bleeping Computer.
Схема атаки
Хакеры заводят учетную запись в Google и создают документы. Затем они оставляют в них комментарии с вредоносными ссылками, упоминая того или иного пользователя с помощью спецразметки «@название аккаунта в Google».
Робот Google, получив эту команду, отправляет уведомление пользователю по электронной почте, указывая в письме, что кто-то, прокомментировав документ, упомянул его имя.
Комментарий к электронному письму может содержать вредоносные ссылки, которые легко проходят проверки сервисами безопасности электронной почты, поскольку письмо пришло из проверенного источника. Кроме того, адрес электронной почты злоумышленников в уведомлении прячется за именем пользователя, и мало кто его проверяет. Выбирая популярные имена, хакеры без труда достигают своей цели.
Пример письма с уведомлением от Google Docs
Этот же метод срабатывает и с комментариями в Google Slide и в прочих сервисах Google Workspace.
Что еще хуже, злоумышленникам не нужно делиться документом с жертвами атак, поскольку для отправки вредоносных уведомлений достаточно простого упоминания аккаунта в комментарии к документу.
Как защититься
Чтобы не стать жертвой злоумышленников, следует соблюдать несколько предосторожностей:
-
Удостоверьтесь, что адрес электронной почты отправителя совпадает с адресом электронной почты коллеги, от которого, как вы думаете, и пришло уведомление.
-
Не переходите по ссылкам, вставленным в комментарии к документам.
-
Активируйте дополнительные меры защиты, предлагаемые сервисом Google Workspace.
-
Установите дополнительную защиту от фишинговых URL-адресов, предлагаемую разработчиками антивирусов.
Ошибка Google отправляет сайты в «лимб» на годы
