Мошенники нашли новый способ обходить корпоративную защиту электронной почты: они рассылают фишинговые письма с предложениями о работе через легитимную платформу Google AppSheet, используя настоящий сервисный адрес noreply@appsheet.com. Такая схема, как сообщила 27 мая «Лаборатория Касперского», позволяет злоумышленникам усыплять бдительность получателей и успешно доставлять вредоносные сообщения, минуя традиционные спам-фильтры (включая проверки SPF, DKIM и DMARC). Получив письмо от имени рекрутеров крупных технологических или автомобильных компаний, жертву просят перейти по ссылке, где она вводит свои конфиденциальные данные — вплоть до логинов и паролей от учётных записей Google.
Эксперты «Лаборатории Касперского» зафиксировали всплеск фишинговых кампаний, в которых злоумышленники используют платформу Google AppSheet. Схема работает так: мошенники регистрируются в сервисе, а затем отправляют письма с настоящего адреса noreply@appsheet.com, подставляя в отображаемое имя правдоподобные названия — например, «команда рекрутеров» известных технологических корпораций, FMCG-компаний или автопроизводителей.
В письме получателю предлагают обсудить карьерные возможности и назначить встречу. Для этого нужно перейти по ссылке, где жертву просят указать имя, контактные данные и предпочтительное время. После этого пользователя перенаправляют на другую мошенническую страницу, где уже запрашивают логин и пароль — например, от аккаунта Google. В результате человек добровольно отдаёт злоумышленникам доступ к своим учётным записям.
Возможен и второй сценарий: в письме может не быть ссылки. Адресата просят самостоятельно написать ответ «команде рекрутеров». Предположительно, в ходе дальнейшей переписки мошенники попытаются выманить учётные данные.
Почему такие письма успешно доходят до адресатов? Поскольку они отправляются через инфраструктуру Google, они проходят технологии аутентификации SPF, DKIM и DMARC. Это повышает доверие к письму и затрудняет его блокировку. Кроме того, AppSheet позволяет рассылать не только электронные письма, но и SMS. Для запуска кампании достаточно даже базового платного тарифа.
«Злоумышленники всё чаще используют легитимные облачные сервисы в своих атаках, — предупреждает Анна Лазаричева, старший спам-аналитик в «Лаборатории Касперского». — Ранее мы уже сообщали о схемах с Google Forms и Google Tasks. Теперь для масштабных фишинговых рассылок используется и AppSheet. Такой способ позволяет усыпить бдительность пользователей и затруднить обнаружение защитными решениями».
Специалисты рекомендуют при получении предложений о работе связываться с компанией по официальным каналам (например, по телефону), не переходить по подозрительным ссылкам, не вводить личные данные на сомнительных ресурсах и настроить многофакторную аутентификацию. Бизнесу советуют регулярно повышать грамотность сотрудников и использовать почтовые решения, способные блокировать подозрительные письма.
