技术摘要
此钓鱼威胁涉及攻击者利用Google演示文稿的“发布”功能来创建钓鱼页面,从而绕过了谷歌通常的反钓鱼页脚和警告。通常,当Google文档或幻灯片以“编辑”或“预览”模式共享时,会显示一个关于钓鱼风险的页脚警告,允许用户报告可疑内容。然而,当幻灯片被“发布”并通过生成的链接共享时,该页脚被移除,使得攻击者能够更令人信服地呈现钓鱼内容。
在此次活动中,钓鱼电子邮件被发送给Vivaldi Webmail服务的用户,其中包含指向此类已发布的Google幻灯片的链接。幻灯片会展示一个钓鱼诱饵,点击后会将受害者引导至托管在第三方平台(Weebly)上的经典登录表单。幻灯片可以配置为自动前进或延迟切换,允许攻击者控制用户体验并降低怀疑。钓鱼邮件本身并不高度复杂,但足以欺骗部分用户。目前没有自动化的机器人或谷歌反钓鱼机制能有效检测或阻止此方法,因为它利用的是合法的谷歌功能,而非漏洞。除了此次报告的活动外,尚未发现其他已知的在野利用,也没有涉及直接的软件漏洞。此次攻击依赖于社会工程学和对受信任平台的滥用,以窃取凭据。
潜在影响
对于欧洲的组织而言,这种钓鱼技术可能导致凭证泄露、对公司或个人账户的未经授权访问,以及潜在的后续影响,如数据泄露或欺诈。使用Vivaldi Webmail或类似服务的组织可能会遭遇针对性的钓鱼尝试。使用Google Slides(一个广受信任和常用的平台)增加了用户信任度和点击率的可能性。凭证窃取可使攻击者转入公司网络,特别是如果用户重复使用密码或有权访问敏感系统。谷歌钓鱼警告的缺失降低了用户的怀疑,增加了攻击的有效性。虽然攻击没有利用软件漏洞,但社会工程学风险很大,特别是对于安全意识较弱的用户。其影响严重性中等,但如果攻击者利用窃取的凭证发动进一步攻击,影响可能会升级。依赖网络邮件和云服务的远程或混合工作模式的欧洲实体尤其脆弱。
缓解建议
- 专门教育用户了解滥用合法云服务(如Google Slides发布的演示文稿)的钓鱼技术。
- 实施高级电子邮件过滤,检测可疑链接,特别是那些指向已发布的Google Slides URL并结合了外部登录表单的链接。
- 部署URL重写或检查工具,可以分析Google Slides链接,并标记那些已发布并导向凭据收集站点的链接。
- 鼓励在所有账户上启用多因素认证(MFA),以减少凭证被盗的影响。
- 监控钓鱼活动后异常的登录模式或访问尝试。
- 与谷歌合作,报告为钓鱼而滥用已发布幻灯片的行为,以便更快地将其下架。
- 对于使用Vivaldi Webmail的组织,考虑额外的电子邮件安全控制或替代的安全电子邮件提供商。
- 使用浏览器安全扩展或端点保护,当用户在可疑网站上输入凭证时发出警告。
- 定期更新钓鱼模拟和培训计划,纳入如滥用已发布的Google幻灯片等新兴策略。
- 制定事件响应计划,包括在检测到钓鱼攻击时快速重置凭证和通知用户。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙、瑞典、比利时FINISHED aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7AzPfZtAqBSLCtmr7Po4OvA5uDJxhyTuJz8QlDCZCgz3U69246vuZ7MTZs2eH59dKo2izD6YsutHrx7XX6GcVyf
