Οι παράγοντες απειλών έκαναν κατάχρηση του προϊόντος της Google για να παρακάμψουν τα φίλτρα ασφαλείας που οδηγούσαν σε κλοπή δεδομένων.
Ενώ οι φόρμες CAPTCHA, οι ιστότοποι μικρών παζλ σάς ζητούν να συμπληρώσετε για να αποδείξετε ότι είστε άνθρωπος, μπορεί να είναι κουραστικές, εξυπηρετούν έναν σοβαρό σκοπό: την προστασία από τα ρομπότ.
Ωστόσο, μια πρόσφατη αναφορά του Avanan δείχνει ότι οι φορείς απειλών έκαναν κατάχρηση του προϊόντος reCAPTCHA της Google για να κλέψουν τα διαπιστευτήρια των θυμάτων.
Οι απατεώνες χρησιμοποιούσαν φόρμες CAPTCHA που αποστέλλονταν από νόμιμους τομείς για να ξεγελάσουν τους σαρωτές και να βάλουν στα χέρια τους τα εισερχόμενα των θυμάτων. Μόλις εκεί, οι φορείς απειλών ζητούν από τον στόχο να εισαγάγει διαπιστευτήρια για να ανοίξει ένα PDF.
Στις επιθέσεις που ανακάλυψαν οι ερευνητές του Avanan, οι απατεώνες χρησιμοποίησαν φόρμες CAPTCHA για να παρακάμψουν σαρωτές που συνήθως μπλοκάρουν τυχόν ύποπτα εισερχόμενα email.
Ο χρήστης λαμβάνει ένα email με τυπική εμφάνιση, που υποτίθεται ότι είναι ένα έγγραφο με φαξ. Το έγγραφο επισυνάπτεται ως PDF.
Οι εγκληματίες χρησιμοποίησαν το reCAPTCHA της Google επειδή οι περισσότεροι σαρωτές ασφαλείας εμπιστεύονται τη φόρμα. Η υπηρεσία πραγματοποιεί συνδέσεις με IP που ανήκουν στην Google. Τέτοιες διευθύνσεις IP βρίσκονται στις περισσότερες «λίστες επιτρεπόμενων».
Τα κακόβουλα email στάλθηκαν από έναν νόμιμο τομέα, πράγμα που σημαίνει ότι οι προεπιλεγμένοι σαρωτές δεν είχαν πρόβλημα να τους αφήσουν να περάσουν. Δεδομένου ότι το κακόβουλο περιεχόμενο βρισκόταν πίσω από μια φόρμα CAPTCHA, δεν υπήρχε τρόπος να αποκλείσετε τη λήψη του email στα εισερχόμενα.
“Επειδή το περιεχόμενο αυτού του συνημμένου είναι ένα φαινομενικά αβλαβές reCAPTCHA και το πρόγραμμα-πελάτη αλληλογραφίας δεν θα είναι σε θέση να λύσει το CAPTCHA, το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου δεν θα έχει τρόπο να προσδιορίσει την ασφάλεια του πραγματικού περιεχομένου του συνημμένου”, Jeremy Fuchs, ερευνητής ασφάλειας έγραψε στο Avanan.
Ο τελικός χρήστης μπορεί εύκολα να ξεγελάσει το κόλπο. Δεδομένου ότι οι απατεώνες χρησιμοποίησαν μια νόμιμη διεύθυνση τομέα ενός εκπαιδευτικού ιδρύματος και χρησιμοποιούσαν τη φόρμα CAPTCHA, το μήνυμα ηλεκτρονικού ταχυδρομείου κρύφτηκε κάτω από ένα επίχρισμα νομιμότητας.
Το βασικό δώρο της πραγματικής φύσης του email ήταν ορατό μόλις τα θύματα συμπλήρωσαν τη φόρμα CAPTCHA και ανακατευθυνθούν σε έναν ιστότοπο. Εκεί τους ζητήθηκε να εισαγάγουν τα διαπιστευτήριά τους για να ανοίξουν ένα PDF προστατευμένο με κωδικό πρόσβασης που επισυνάπτεται στην επιστολή.
Παρόλο που ο ιστότοπος εμφανιζόταν ως ιστότοπος που σχετίζεται με το Outlook, ο σύνδεσμος είχε γραμματικά λάθη και μηδενικά εκεί που έπρεπε να βρίσκονται οι αριθμοί, μια κοινή τακτική που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου.
Για να μην υποκύψετε σε τέτοιες επιθέσεις, ο Fuchs συνιστά να ελέγχετε πάντα τις διευθύνσεις URL και να ρωτάτε τον αποστολέα γιατί στάλθηκε το έγγραφο και προστατεύτηκε με κωδικό πρόσβασης.