網(wǎng)絡(luò)攻擊者向某些組織發(fā)送了數(shù)千封電子郵件，研究人員警告說，這是犯罪分子在進(jìn)行信息偵察活動(dòng)，其目的是為以后要進(jìn)行的商業(yè)電子郵件攻擊(BEC)確定目標(biāo)。

研究人員觀察到從2020年12月到現(xiàn)在，該攻擊者已經(jīng)向公司發(fā)送了數(shù)千封郵件，主要是發(fā)送給零售、電信、醫(yī)療保健、能源和制造業(yè)部門。值得注意的是，此次攻擊活動(dòng)利用了谷歌的Forms調(diào)查工具。為了繞過電子郵件內(nèi)容過濾系統(tǒng)，網(wǎng)絡(luò)犯罪分子使用谷歌表單來收集信息并不新鮮，這在憑證釣魚攻擊活動(dòng)中經(jīng)常會(huì)觀察到。然而，研究人員表示，在這種攻擊中，使用Google Forms還可以使郵件收件人和攻擊者之間保持聯(lián)系，從而對(duì)他們進(jìn)行BEC攻擊。

[[378417]]

據(jù)Proofpoint研究人員在周三的分析中稱，"這種活動(dòng)通過利用谷歌服務(wù)與社會(huì)工程學(xué)攻擊相結(jié)合的方式，使攻擊更具有規(guī)模性和合法性，在BEC攻擊中經(jīng)常會(huì)見到。"。

這些信息中包含了目標(biāo)組織中C級(jí)高管的名字，這表明網(wǎng)絡(luò)犯罪分子在進(jìn)行攻擊的時(shí)候做好了充分的準(zhǔn)備。研究人員表示，這些郵件本身 "形式很簡單，但內(nèi)容卻給人以緊迫感"，它們問受害者能否立即去做一件事，發(fā)件人聲稱自己是要去開會(huì)或太忙，無法親自處理這項(xiàng)任務(wù)，并在郵件中附加了一個(gè)鏈接。

這個(gè)鏈接會(huì)將受害者引向一個(gè)托管在Google Forms基礎(chǔ)設(shè)施上的無標(biāo)題的表格。Google Forms是一款調(diào)查管理軟件，是Google的Doc Editors套件的一部分。奇怪的是，這次攻擊活動(dòng)中使用的表格是空白的，只是寫著 "無標(biāo)題表格 "。

研究人員認(rèn)為，這樣做的目的是為了使受害者回復(fù)電子郵件，回復(fù)說調(diào)查問卷被破壞了或者說表格是有問題的。這可以為受害者和攻擊者之間的更進(jìn)一步的交流奠定基礎(chǔ)，為后續(xù)進(jìn)行的BEC攻擊做好準(zhǔn)備。

研究人員說:"該表格很可能只是一個(gè)探測(cè)工具，簡單地看看是否有人填寫他們的信息，作為一種新的探測(cè)技術(shù)，那些習(xí)慣點(diǎn)擊郵件鏈接的用戶很容易成為受害者"。

盡管使用了這一攻擊技巧，但郵件本身有幾處明顯的錯(cuò)誤，很可能會(huì)讓收件人看出破綻。包括錯(cuò)誤的拼寫和一些不規(guī)范的語法。其中一封郵件說："你現(xiàn)在有時(shí)間嗎，現(xiàn)在幫我做一件事，點(diǎn)擊=m標(biāo)題進(jìn)入一個(gè)會(huì)議，我現(xiàn)在不能接收電話或短信 只能給我發(fā)e=ail。"

另一個(gè)非常明顯的地方就是這次攻擊活動(dòng)中發(fā)件人使用的電子郵件地址，在某些情況下，這些地址一眼就能看出不是合法的電子郵件地址(比如fgtytgyg[@]gmail.com)。

Proofpoint威脅研究和檢測(cè)高級(jí)總監(jiān)Sherrod DeGrippo告訴Threatpost："我們并沒有研究出這些郵件地址的組合規(guī)律，同時(shí)，有些地址看起來像是隨機(jī)拼湊而成的，而其他地址則結(jié)合使用了常見的名稱或短語"

研究人員認(rèn)為，這只是攻擊活動(dòng)的最初階段。他們表示，攻擊者可能是正在收集信息，確定后續(xù)的攻擊目標(biāo)。

研究人員說："郵件中使用緊急語氣與之前的BEC攻擊者的行為是一致的，因此，我們希望這些信息對(duì)于客戶和社區(qū)有警醒作用"。

攻擊者此前曾利用過包括谷歌表單在內(nèi)的其他谷歌服務(wù)，然后發(fā)動(dòng)各種惡意攻擊。曾在11月的一次網(wǎng)絡(luò)釣魚攻擊活動(dòng)中，犯罪分子利用谷歌表單來收集受害者的憑證，這些表單偽裝成了25家不同的公司、品牌和政府機(jī)構(gòu)的登錄頁面。11月的另一次攻擊活動(dòng)中使用了谷歌表格和美國運(yùn)通的標(biāo)志，并企圖獲取受害者的敏感信息。同樣在11月，騙子利用Google Drive協(xié)作功能，欺騙用戶點(diǎn)擊惡意鏈接進(jìn)行攻擊。

Proofpoint研究人員說："雖然社會(huì)工程學(xué)攻擊在電子郵件傳播攻擊中非常普遍，但它在惡意軟件攻擊和憑證釣魚攻擊中的應(yīng)用方式與在BEC活動(dòng)中的應(yīng)用方式是不同的，在惡意軟件攻擊活動(dòng)中，社會(huì)工程學(xué)是在攻擊的初始階段使用的。相反，在BEC中，社會(huì)工程學(xué)在整個(gè)攻擊過程中都會(huì)使用到。雖然這種攻擊很少見，我們發(fā)現(xiàn)的攻擊方式通常是惡意攻擊者在獲取受害人的信任后，向受害人提供惡意軟件來進(jìn)行攻擊。"

本文翻譯自：https://threatpost.com/google-forms-set-baseline-for-widespread-bec-attacks/163223/