Исследователи предупреждают о возросшей активности фишеров, которые используют Google Accelerated Mobile Pages (AMP) для обхода защиты электронной почты и доступа к почтовым ящикам сотрудников организаций.
Google Accelerated Mobile Pages («Ускоренные мобильные страницы») представляют собой опенсорсный HTML-фреймворк, разработанный и продвигаемый Google, совместно с 30 компаниями-партерами.
Страницы AMP обслуживаются с серверов Google, хотя и выглядят так, будто исходят с оригинальных сайтов. Google заявляет, что цель проекта AMP — улучшение user experience, а также повышение производительности сайтов за счет комбинации предварительной загрузки, предоставления страниц с более быстрых серверов самой Google и удаления некоторых legacy-функций.
Использование URL-адресов Google AMP, встроенных в фишинговые письма, позволяет атакующим добиться того, что технологии защиты почты не помечают такие сообщения как вредоносные или подозрительные (из-за хорошей репутации Google). На самом же деле URL-адреса AMP отвечают за перенаправление на вредоносный фишинговый сайт, а дополнительный шаг с применением AMP позволяет воспрепятствовать анализу и обнаружению.
Как сообщают специалисты компании Cofense, количество фишинговых атак с использованием AMP значительно увеличилось в середине июля текущего года.
Отмечается, что хотя путь google.com/amp/s/ является общим во всех случаях, его блокировка повлияет и на все законные случаи использования Google AMP, и может быть не очень хорошей идеей.
Также Cofense сообщает, что хакеры, злоупотребляющие возможностями Google AMP, используют и ряд других тактик, которые помогают избегать обнаружения и повышают вероятность успеха атак. Например, во многих случаях, атакующие использовали письма в формате HTML и изображения, чтобы запутать сканеры, которые обычно ищут фишинг в тексте сообщения.
В другом примере злоумышленники создали настоящую «матрешку»: использовали дополнительное перенаправление и URL-адрес Microsoft.com, чтобы перенаправить жертву на домен Google AMP и только после этого — на настоящий фишинговый сайт.
Также хакеры взяли на вооружение сервис CAPTCHA Cloudflare, чтобы помешать автоматическому анализу фишинговых страниц ботами, фактически не позволяя сканерам добраться до них.
Google Accelerated Mobile Pages («Ускоренные мобильные страницы») представляют собой опенсорсный HTML-фреймворк, разработанный и продвигаемый Google, совместно с 30 компаниями-партерами.
Страницы AMP обслуживаются с серверов Google, хотя и выглядят так, будто исходят с оригинальных сайтов. Google заявляет, что цель проекта AMP — улучшение user experience, а также повышение производительности сайтов за счет комбинации предварительной загрузки, предоставления страниц с более быстрых серверов самой Google и удаления некоторых legacy-функций.
Использование URL-адресов Google AMP, встроенных в фишинговые письма, позволяет атакующим добиться того, что технологии защиты почты не помечают такие сообщения как вредоносные или подозрительные (из-за хорошей репутации Google). На самом же деле URL-адреса AMP отвечают за перенаправление на вредоносный фишинговый сайт, а дополнительный шаг с применением AMP позволяет воспрепятствовать анализу и обнаружению.
Как сообщают специалисты компании Cofense, количество фишинговых атак с использованием AMP значительно увеличилось в середине июля текущего года.
«Из всех изученных нами URL-адресов Google AMP примерно 77% были размещены в домене google.com, а 23% — в домене google.co.uk», — рассказывают исследователи.
Отмечается, что хотя путь google.com/amp/s/ является общим во всех случаях, его блокировка повлияет и на все законные случаи использования Google AMP, и может быть не очень хорошей идеей.
Также Cofense сообщает, что хакеры, злоупотребляющие возможностями Google AMP, используют и ряд других тактик, которые помогают избегать обнаружения и повышают вероятность успеха атак. Например, во многих случаях, атакующие использовали письма в формате HTML и изображения, чтобы запутать сканеры, которые обычно ищут фишинг в тексте сообщения.
В другом примере злоумышленники создали настоящую «матрешку»: использовали дополнительное перенаправление и URL-адрес Microsoft.com, чтобы перенаправить жертву на домен Google AMP и только после этого — на настоящий фишинговый сайт.
Также хакеры взяли на вооружение сервис CAPTCHA Cloudflare, чтобы помешать автоматическому анализу фишинговых страниц ботами, фактически не позволяя сканерам добраться до них.