黑客濫用 Google 表單進(jìn)行詐騙-魔扣目錄

研究人員最近發(fā)現(xiàn)濫用 google 表單的垃圾郵件有所增加，攻擊者首先在 Google 表單中創(chuàng)建新的問(wèn)卷調(diào)查，并且利用受害者的電子郵件地址參與問(wèn)卷調(diào)查，濫用 Google 表單的功能將垃圾郵件發(fā)送給受害者。由于垃圾郵件由 Google 發(fā)出，通常可以繞過(guò)檢查送遞到受害者。

黑客濫用 Google 表單進(jìn)行詐騙此類電子郵件統(tǒng)計(jì)圖

多年來(lái)攻擊者一直濫用該功能，但最近該功能被濫用的尤為嚴(yán)重。

Google 表單

在 Google 表單中創(chuàng)建新表單時(shí)，作者可以選擇“將其設(shè)為問(wèn)卷調(diào)查”，并且選擇在手動(dòng)審核后將成績(jī)發(fā)送給參與者的電子郵件。

黑客濫用 Google 表單進(jìn)行詐騙表單配置

配置好表單后，攻擊者就獲得了訪問(wèn)該表單的鏈接。隨后攻擊者使用受害者的電子郵件地址填寫表格并提交，如何回答表單中的問(wèn)題并不重要，生成的測(cè)試如下所示：

黑客濫用 Google 表單進(jìn)行詐騙后臺(tái)統(tǒng)計(jì)數(shù)據(jù)

點(diǎn)擊 Release Scores 就可以向所有的提交者發(fā)布電子郵件。電子郵件中可以包含自定義的文本或者 URL，Google 再將郵件發(fā)送給對(duì)應(yīng)的賬戶。由于電子郵件來(lái)自 Google，很可能會(huì)繞過(guò)各種安全檢查機(jī)制。

加密貨幣詐騙

以下是通過(guò) Google 表單發(fā)送的垃圾郵件示例：

黑客濫用 Google 表單進(jìn)行詐騙垃圾郵件

受害者點(diǎn)擊查看后，就會(huì)被重定向到虛假網(wǎng)址：

黑客濫用 Google 表單進(jìn)行詐騙跳轉(zhuǎn)引導(dǎo)頁(yè)面

在表單回復(fù)中，攻擊者提供了跳轉(zhuǎn)網(wǎng)站的鏈接。該鏈接指向另一個(gè) Google 表單，要求受害者確認(rèn)電子郵件地址。在這個(gè)攻擊階段，第二個(gè)表單中輸入電子郵件地址時(shí)，受害者會(huì)收到包含指向外部網(wǎng)站（go-procoinwhu[.]top）鏈接的響應(yīng)。

黑客濫用 Google 表單進(jìn)行詐騙確認(rèn)后的跳轉(zhuǎn)鏈接

該域名于 2023 年 10 月 28 日創(chuàng)建，但請(qǐng)求量已經(jīng)快速增長(zhǎng)。

黑客濫用 Google 表單進(jìn)行詐騙域名請(qǐng)求趨勢(shì)

點(diǎn)擊 Google 表單響應(yīng)中 go-procoinwhu[.]top 鏈接會(huì)觸發(fā) CloudFlare 的 302 重定向，將受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。該域名也是在 2023 年 10 月 25 日才創(chuàng)建的，DNS 請(qǐng)求模式也與前述域名類似。

黑客濫用 Google 表單進(jìn)行詐騙域名請(qǐng)求趨勢(shì)

受害者被重定向到 dudicyqehama.top 時(shí)，會(huì)看到一個(gè)精心設(shè)計(jì)的詐騙網(wǎng)站。該網(wǎng)站聲稱受害者通過(guò)“云計(jì)算挖掘比特幣”在賬戶中擁有超過(guò) 1.3 個(gè)比特幣，網(wǎng)站聲稱這些比特幣價(jià)值超過(guò) 4.6 萬(wàn)美元。

黑客濫用 Google 表單進(jìn)行詐騙詐騙網(wǎng)站