研究人員最近發(fā)現(xiàn)濫用 Google 表單的垃圾郵件有所增加，攻擊者首先在 Google 表單中創(chuàng)建新的問卷調(diào)查，并且利用受害者的電子郵件地址參與問卷調(diào)查，濫用 Google 表單的功能將垃圾郵件發(fā)送給受害者。由于垃圾郵件由 Google 發(fā)出，通?？梢岳@過檢查送遞到受害者。

此類電子郵件統(tǒng)計(jì)圖

多年來攻擊者一直濫用該功能，但最近該功能被濫用的尤為嚴(yán)重。

Google 表單

在 Google 表單中創(chuàng)建新表單時(shí)，作者可以選擇“將其設(shè)為問卷調(diào)查”，并且選擇在手動(dòng)審核后將成績(jī)發(fā)送給參與者的電子郵件。

表單配置

表單配置

配置好表單后，攻擊者就獲得了訪問該表單的鏈接。隨后攻擊者使用受害者的電子郵件地址填寫表格并提交，如何回答表單中的問題并不重要，生成的測(cè)試如下所示：

后臺(tái)統(tǒng)計(jì)數(shù)據(jù)

點(diǎn)擊 Release Scores 就可以向所有的提交者發(fā)布電子郵件。電子郵件中可以包含自定義的文本或者 URL，Google 再將郵件發(fā)送給對(duì)應(yīng)的賬戶。由于電子郵件來自 Google，很可能會(huì)繞過各種安全檢查機(jī)制。

加密貨幣詐騙

以下是通過 Google 表單發(fā)送的垃圾郵件示例：

垃圾郵件

受害者點(diǎn)擊查看后，就會(huì)被重定向到虛假網(wǎng)址：

跳轉(zhuǎn)引導(dǎo)頁面

在表單回復(fù)中，攻擊者提供了跳轉(zhuǎn)網(wǎng)站的鏈接。該鏈接指向另一個(gè) Google 表單，要求受害者確認(rèn)電子郵件地址。在這個(gè)攻擊階段，第二個(gè)表單中輸入電子郵件地址時(shí)，受害者會(huì)收到包含指向外部網(wǎng)站（go-procoinwhu[.]top）鏈接的響應(yīng)。

確認(rèn)后的跳轉(zhuǎn)鏈接

該域名于 2023 年 10 月 28 日創(chuàng)建，但請(qǐng)求量已經(jīng)快速增長(zhǎng)。

域名請(qǐng)求趨勢(shì)

點(diǎn)擊 Google 表單響應(yīng)中 go-procoinwhu[.]top 鏈接會(huì)觸發(fā) CloudFlare 的 302 重定向，將受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。該域名也是在 2023 年 10 月 25 日才創(chuàng)建的，DNS 請(qǐng)求模式也與前述域名類似。

域名請(qǐng)求趨勢(shì)

受害者被重定向到 dudicyqehama.top 時(shí)，會(huì)看到一個(gè)精心設(shè)計(jì)的詐騙網(wǎng)站。該網(wǎng)站聲稱受害者通過“云計(jì)算挖掘比特幣”在賬戶中擁有超過 1.3 個(gè)比特幣，網(wǎng)站聲稱這些比特幣價(jià)值超過 4.6 萬美元。

詐騙網(wǎng)站

一旦受害者點(diǎn)擊繼續(xù)，就會(huì)進(jìn)入登錄頁面。用戶名和密碼已經(jīng)預(yù)先填寫到表單中，受害者只需要點(diǎn)擊登錄按鈕即可。

詐騙網(wǎng)站

該詐騙網(wǎng)站竭盡全力顯得十分正常，甚至加入了群聊功能，受害者可以在其中看到各種用戶討論加密貨幣。受害者登錄后也可以發(fā)布評(píng)論，但很明顯這些都不是真正的用戶。

虛假群聊

受害者試圖領(lǐng)取比特幣時(shí)，會(huì)被重定向到名為 Sophia 的代理進(jìn)行實(shí)時(shí)聊天的頁面。

聊天頁面

Sophia 與受害者聊了一會(huì)，又發(fā)送了一份表格讓受害者填寫以收取比特幣。

填寫表格

該表格要求受害者填寫姓名、電子郵件地址以及用戶期望的提現(xiàn)方式。

提現(xiàn)表格

填寫表格后，受害者會(huì)被重定向到與 Sophia 的聊天，Sophia 給出一個(gè)按鈕啟動(dòng)比特幣提現(xiàn)。

聊天截圖

現(xiàn)在就可以看到詐騙的結(jié)局，受害者想要提取 4.8 萬美元就必須支付 0.25% 的手續(xù)費(fèi)（64 美元）。

要求支付手續(xù)費(fèi)

當(dāng)受害者點(diǎn)擊兌換比特幣時(shí)，會(huì)看到最后一張表格，提示受害者輸入姓名、電子郵件和電話號(hào)碼。

點(diǎn)擊支付就會(huì)出現(xiàn)比特幣錢包的二維碼。幸運(yùn)的是，目前還沒有人被詐騙向攻擊者支付手續(xù)費(fèi)。截至到 2023 年 11 月 6 日，該比特幣錢包仍然是空的。

錢包二維碼

攻擊者費(fèi)盡心機(jī)設(shè)置這個(gè)詐騙騙局，通過社會(huì)工程學(xué)做了大量的準(zhǔn)備工作。