Bezpečnostní experti zo spoločnosti Cofense varujú firmy pred novou vlnou phishingových útokov, ktoré zneužívajú legitímnu službu od spoločnosti Google nazývanú Google Apps Script. Hackeri vďaka nej dokážu účinne oklamať bežné bezpečnostné riešenia enterprise prostredí, informoval nedávno portál Živé.sk.
Legitímne URL adresy ako krytie
Typický phishingový scenár začína doručením dôveryhodne vyzerajúceho e-mailu zamestnancom firiem, ktorý sa javí, ako by bol poslaný od ich nadriadených. Správa ich nabáda ku kliknutiu na odkaz, ktorý nasmeruje obeť k falošnému prihlasovaciemu formuláru. Na rozdiel od bežných phishingových kampaní však útočníci prechádzajú cez oficiálne URL adresy od Googlu, čím sa vyhýbajú štandardným antivírusovým a spamovým filtrom.
Útočníci využívajú práve platformu Google Apps Script – cloudové riešenie, ktoré umožňuje používateľom Google Workspace vytvárať vlastné webové aplikácie a automatizovať rôzne pracovné procesy. Nakoľko tieto skripty bežia na serveroch Googlu, sú antivírusovými mechanizmami často považované za dôveryhodné a legitímne, čo predstavuje závažnú bezpečnostnú dieru v súčasných firemných ochranách.
Útočníci míria priamo na citlivé údaje zamestnancov
Po kliknutí na odkaz sa obeti zobrazí stránka imitujúca prihlasovací formulár. Zamestnanec často prirodzene očakáva, že ide o bežné prihlasovanie cez Single Sign-On (SSO), dnes bežne používané na rýchly prístup k podnikovým aplikáciám. Keď používateľ zadá svoje prihlasovacie údaje, tie okamžite smerujú ku hackerom. Aby si obeť ničoho nevšimla, je ihneď po odoslaní presmerovaná na legitímnu prihlasovaciu stránku SSO systému Microsoft, ktorý býva bežne využívaný vo veľkých organizáciách.
Odborníci z Cofense zdôrazňujú, že najväčším problémom spojeným s útokmi cez Google Apps Script je fakt, že URL adresy platformy sú vo väčšine prípadov vnímané ako dôveryhodné. Firmy ich tak len veľmi zriedka blokujú alebo dôslednejšie kontrolujú, čo útočníkom otvára priestor pre efektívne phishingové kampane.
Prevenciou sú analytické nástroje, blokovanie URL adries a školenia pre zamestnancov
Experti odporúčajú firmám prehodnotiť existujúce bezpečnostné opatrenia a zosilniť kontrolu prichádzajúcich emailových správ, najmä tých, ktoré obsahujú odkazy na cloudové služby ako Google Apps Script. Jednou z možností je úplné blokovanie URL adries z tejto konkrétnej platformy Google alebo ich automatické označenie za potenciálne rizikové.
Dôležitá je tiež pravidelná edukácia zamestnancov s dôrazom na nové a sofistikovanejšie formy phishingu. Firmy, ktoré systematicky školia svojich zamestnancov prostredníctvom simulovaných phishingových útokov, sú menej náchylné na podobné kybernetické incidenty. Zamestnanci sú tak schopní lepšie rozpoznať potenciálne škodlivé emaily či odkazy ešte pred ich otvorením.
V dlhodobom horizonte môže významnú ochranu poskytnúť využitie umelej inteligencie (AI). AI bezpečnostné platformy totiž dokážu analyzovať vzorce správania užívateľov a odhaľovať podozrivé aktivity s vysokou presnosťou. Ich analytické kapacity dokážu odhaliť a blokovať potenciálne škodlivé správy dávno predtým, než na ne zamestnanec vôbec klikne.
Táto nová phishingová metóda predstavuje závažnú výzvu pre podnikové IT oddelenia. Špecialisti varujú, že firmy by mali problém brať vážne a čo najskôr sa zamerať na aktualizáciu svojich bezpečnostných stratégií, aby zabránili možným škodám spôsobeným sofistikovanejšími hrozbami v budúcnosti.
