Google walczy z phishingiem

Firma informuje, że w ciągu pierwszych pięciu miesięcy tego roku zablokowała ponad milion wiadomości phishingowych, które były częścią dużej kampanii prowadzonej przez hakerów. Miała ona na celu przejmowanie kont YouTube i promowanie oszustw związanych z kryptowalutami.

Grafika: Mikhail Nilov/Pexels

Google podaje, że od końca 2019 roku rosyjscy hakerzy atakują ze zdwojoną siłą użytkowników usługi YouTube za pomocą odpowiednio spreparowanych maili phishingowych i złośliwego oprogramowania, które kradnie pliki cookie. Hakerzy sprzedają np. dostęp do przejętych przez nich kanałów pracujących w trybie online (streaming), pobierając opłaty w wysokości od kilku do nawet kilkuset tysięcy USD.

Google zablokował 1,6 mln pishingowych wiadomości pocztowych, przesłał użytkownikom ponad 62 tys. alertów ostrzegających ich przed phishingiem i przywrócił kilka tysięcy przejętych kont. Phishingowe maile zawierały najczęściej złośliwe oprogramowanie, które kradnie z przeglądarek pliki cookie.

Zobacz również:

  • Malware Chinotto atakuje urządzenia Windows i Android
  • Ransomware wciąż głównym cyberzagrożeniem
  • Google Cloud i Qualcomm popracują wspólnie nad sieciami neuronowymi

Ataki tego typu (noszące nazwę „pass-the-cookie”) znane są od dawna, teraz zostały udoskonalone. Są skuteczne nawet wtedy, gdy użytkownik włączy usługę MFA (uwierzytelniane dwuskładnikowe). Pliki cookie są kradzione również wtedy, gdy użytkownik zalogował się na swoje konto w trybie MFA, czyli podał zarówno hasło, jak i użył do tego celu smartfona. Po uruchomieniu szkodliwego oprogramowania, plik cookie jest przesyłany na skonfigurowane przez hakera serwery, które mogą wtedy przystąpić do właściwego ataku, czyli przejęcia konta.

Google zidentyfikował również ponad 1000 domen, które zostały utworzone w celu dystrybuowania złośliwego oprogramowania. Domeny podszywały się przy tym pod znane serwisy technologiczne, tak aby uśpić czujność użytkowników. Kradnący pliki cookie malware pracuje przy tym w trybie „non-persistent” (przejściowym), zmniejszając w ten sposób prawdopodobieństwo tego, że system bezpieczeństwa wykryje zagrożenie, gdyż ma wiedzę o jego wcześniejszej aktywności.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200