Osoby odpowiedzialne za cyberzagrożenia znalazły sposób na wykorzystanie narzędzia Google do wizualizacji danych Looker Studio do przeprowadzania ataków phishingowych. Badacze z Check Point odkryli kampanię związaną z kompromitacją biznesowej poczty e-mail (BEC), która wykorzystuje Looker Studio do tworzenia stron o tematyce kryptowalut w celu nakłonienia użytkowników do podania swoich danych uwierzytelniających. Atakujący wysyłają e-maile, które wydają się pochodzić od Google i zawierają linki do fałszywych raportów na temat inwestowania w kryptowaluty. Jeśli użytkownicy klikną link, zostaną przekierowani na stronę Google Looker, na której znajduje się pokaz slajdów zachęcający ich do zalogowania się na swoje konto w celu odebrania większej ilości Bitcoinów. Jednak ta strona logowania ma na celu kradzież ich danych uwierzytelniających.

Badacze Check Point zaobserwowali ponad sto ataków z wykorzystaniem tej metody i poinformowali Google o tej kampanii. Osoby atakujące są w stanie ominąć skanowanie zabezpieczeń poczty e-mail, wykorzystując uprawnienia Google i stosując różne techniki. Na przykład manipulują adresem IP nadawcy, aby oszukać mechanizmy kontrolne SPF (Sender Policy Framework) i przejść kontrolę uwierzytelnienia DKIM, weryfikując legalną domenę wiadomości e-mail. Co więcej, powiązanie wiadomości e-mail z domeną google.com umożliwia im przechodzenie kontroli przez uwierzytelnianie, raportowanie i zgodność wiadomości w oparciu o domenę (DMARC).

Eksperci skrytykowali SPF, DKIM i DMARC za podatność na wyrafinowane wektory ataków e-mailowych, ponieważ mogą chronić jedynie przed zagrożeniami, do których zostały zaprojektowane. Aby chronić się przed takimi atakami BEC, organizacjom zaleca się przyjęcie technologii zabezpieczeń opartej na sztucznej inteligencji, która może proaktywnie identyfikować wskaźniki phishingu. Ponadto należy wdrożyć kompleksowe rozwiązanie zabezpieczające z możliwością skanowania dokumentów i plików, a także solidny system ochrony adresów URL, który przeprowadza dokładne skanowanie i emuluje strony internetowe w celu zwiększenia bezpieczeństwa.

