Phishing met Google Apps Script

Scammers maken gebruik van redirects via Google Apps Script om te voorkomen dat mailservers phishing-links blokkeren.

Om zakelijke e-mailgegevens van werknemers van een bedrijf te stelen, moeten aanvallers eerst langs de antiphishing-oplossingen op de e-mailservers van het bedrijf zien te komen. Vaak gebruiken ze legitieme webdiensten om niet op te vallen, en steeds vaker gaat het dan om Google Apps Script, een op JavaScript gebaseerd scriptingplatform.

Wat is Apps Script en hoe maken aanvallers hier gebruik van?

Apps Script is een op JavaScript gebaseerd platform voor het automatiseren van taken binnen producten van Google (bijv. het maken van add-ons voor Google Docs) en in toepassingen van derden. Het is in feite een service voor het creëren van scripts en om deze vervolgens in de Google-infrastructuur uit te voeren.

In e-mailphishing gebruiken aanvallers deze dienst voor redirects. In plaats van de URL van een schadelijke website rechtstreeks in een bericht te plaatsen, kunnen cybercriminelen een link naar een script plaatsen. Op die manier omzeilen ze de anti-phishing-oplossingen van de mailserver, want een hyperlink naar een legitieme Google-site met een goede reputatie komt eenvoudig door de meeste filters heen. Een bijkomend voordeel voor cybercriminelen is dat onopgemerkte phishing-sites langer in de lucht kunnen blijven. Deze truc biedt aanvallers ook de flexibiliteit om het script zo nodig te wijzigen (voor het geval beveiligingsoplossingen aanslaan), en om te experimenteren met de levering van inhoud (bijvoorbeeld door slachtoffers naar verschillende versies van de site te sturen, afhankelijk van hun regio).

Voorbeeld van een scam die gebruikmaakt van Google Apps Script

Het enige dat de aanvallers hoeven te doen, is ervoor zorgen dat gebruikers op een link klikken. Onlangs was het meest voorkomende voorwendsel een “volle mailbox”. Dat klinkt in theorie best plausibel.

Een typische phishing-mail met de “volle mailbox”-truc

In de praktijk zijn aanvallers meestal onzorgvuldig en laten ze tekenen van fraude achter die zelfs voor gebruikers die niet zo vertrouwd zijn met echte meldingen duidelijk zouden moeten zijn:

  • De e-mail lijkt van Microsoft Outlook te komen, maar het e-mailadres van de afzender heeft een buitenlands domein. Een echte melding over een volle mailbox zou van de interne Exchange-server afkomstig moeten zijn. (Bonusteken: in de naam van de afzender, Microsoft Outlook, ontbreekt er een spatie en er is een nul gebruikt in plaats van de letter O.)
  • De link die verschijnt als u met de cursor over “Fix this in storage settings” beweegt, leidt u naar een Google Apps Script-site:

E-maillink naar Google Apps Script

  • De limieten van mailboxen worden niet plotseling overschreden. Outlook waarschuwt gebruikers al lang van tevoren dat hun opslagruimte op begint te raken. Als die limiet plotseling met 850 MB is overschreden, zou dat waarschijnlijk betekenen dat u in één keer zoveel spam ontvangt, wat hoogst onwaarschijnlijk is.

Hoe dan ook, hier volgt een voorbeeld van een legitieme melding van Outlook:

Legitieme melding over een mailbox die bijna vol zit

  • De link met “Fix this in storage settings” verwijst naar een phishing-site. Hoewel het in dit geval een vrij overtuigende kopie is van de inlogpagina van de web-interface van Outlook, blijkt uit een blik op de adresbalk van de browser dat de pagina wordt gehost op een vervalste website en niet binnen de infrastructuur van het bedrijf.

Zo voorkomt u dat u in deze truc trapt

Uit ervaring blijkt dat phishing-mails niet noodzakelijkerwijs phishing-links hoeven te bevatten. Daarom moet betrouwbare zakelijke bescherming anti-phishing-functies bevatten, zowel op het niveau van de mailserver als op de computers van gebruikers.

Daarnaast moet verantwoordelijke bescherming ook regelmatige bewustzijnstraining voor werknemers omvatten, waar wordt ingegaan op huidige cyberdreigingen en phishing-trucs.

Tips