Na konkrétním příkladu Check Point ukazuje, jak se například hackeři snažili zneužít pokročilé funkce GCP k sofistikovanému phishingovému útoku. Hackeři nahráli na Disk Google PDF dokument s odkazem na phishingovou stránku. Phishingová stránka, hostovaná na storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html, žádala uživatele, aby se přihlásil pomocí jména a hesla k Office 365 nebo podnikovému e-mailu. Když uživatel vybral jednu z možností, zobrazilo se vyskakovací okno s outlookovou přihlašovací stránkou. Po zadání přihlašovacích údajů se zobrazil skutečný PDF report publikovaný renomovanou poradenskou společností. Žádná z těchto fází v uživateli nevyvolávala podezření na něco nebezpečného, protože phishingová stránka byla hostována ve službě Google Cloud Storage. Zdrojový kód phishingové stránky ovšem ukázal, že většina zdrojů byla načtena z webu prvtsmtp[.]com, který patřil hackerům. Útočníci začali používat Google Cloud Functions pro spuštění kódu v cloudu, aniž by došlo k odhalení jejich vlastní škodlivé domény. Analýza stránky prvtsmtp[.]com ukázala spojení s ukrajinskou IP adresou (31.28.168[.]4). Mnoho dalších domén souvisejících s tímto phishingovým útokem bylo napojeno na stejnou nebo jiné IP adresy ze stejného bloku síťových IP adres.

Obr. 1: Phishingová stránka, která vyzývá uživatele k přihlášení pomocí jména a hesla k Office 365, vypadá velmi důvěryhodně.

Obr. 2: Uživatel po přihlášení získá přístup k PDF reportu renomované konzultační společnosti a netuší, že své přihlašovací údaje už poskytl hackerům.

Obr. 3: Ukázka škodlivého kódu ve phishingové stránce

 „Hackeři se snaží zneužít důvěru v cloudová úložiště, protože je takový phishingový útok mnohem těžší identifikovat. Tradiční poučky, jak poznat phishingový útok, jako je napodobování domén nebo webové stránky bez certifikátů, v podobných případech tak úplně nefungují. Uživatelé Google Cloud Platform, týká se to ale i AWS a Azure, by si na tento nový trend měli dávat pozor a preventivně se zabezpečit proti podobným útokům. Pomoci mohou například technologie pro emulaci a extrakci hrozeb, uživatel se pak nemusí bát s hrůzou kliknout na každý dokument,“ říká Pavel Krejčí, Security Engineer ve společnosti Check Point.

Jak se chránit?

• Dávejte si pozor na podezřelé domény, e-maily a soubory od neznámých odesílatelů, zejména pokud nabízí speciální akce a slevy. Neotvírejte neznámé přílohy a neklikejte na odkazy v takových e-mailech.
• Dejte si pozor na vzhled domén, pravopisné chyby v e-mailech a na webových stránkách.
• Ujistěte se, že objednáváte zboží z důvěryhodného zdroje.
• Nepoužívejte stejná hesla pro různé účty a aplikace.
• Používejte komplexní bezpečnostní řešení.