Các nhà nghiên cứu bảo mật quốc tế vừa quan sát thấy xu hướng ngày càng gia tăng liên quan đến một hành vi tấn công lừa đảo mới liên quan đến nền tảng Google Docs, bắt đầu xuất hiện vào khoảng cuối tháng 12 năm 2021. Trong đó, những kẻ tấn công đã cố gắng lạm dụng tính năng nhận xét trên tài liệu của Google Docs để phát tán những liên kết lừa đảo nhưng được thiết kế cực kỳ tinh vi và trông có vẻ đáng tin cậy.
Google Docs hiện được sử dụng ngày càng phổ biến trên toàn thế giới, nhất là đối với những người thường làm việc hoặc cộng tác từ xa nhờ khả năng sao lưu, đồng bộ và cộng tác trực tuyến linh hoạt. Trong đó, nhận xét (commenting) là một tính năng tương tác trực tuyến quan trọng với những người đang cùng cộng tác trên một tài liệu. Do đó việc hacker lợi dụng nó để thực hiện các hành vi độc hại là điều không có gì khó hiểu.
Vì bản thân Google cũng đang bị "đánh lừa" bởi những email độc hại này, do đó cơ hội để các công cụ bảo mật email gắn thẻ nguy cơ tiềm ẩn trên thực tế bằng không. Thủ thuật này trên thực tế đã được hacker sử dụng hạn chế kể từ tháng 10 năm ngoái. Và trong khi Google đang cố gắng giảm thiểu vấn đề, lỗ hổng vẫn chưa thực sự được khắc phục hoàn toàn.
Cách thức tấn công
Hacker sẽ sử dụng tài khoản Google của mình để tạo một tài liệu Google Docs công khai, sau đó để lại nhận xét đề cập đến mục tiêu bằng dấu @.
Tiếp theo, Google sẽ gửi một email thông báo tới hộp thư đến tương ứng của mục tiêu bị hacker nhắc tới trong nhận xét. Email này thông báo cho nạn nhân biết rằng có người dùng nào đó đã nhắc tới họ trong một tài liệu Google Docs, và có thể truy cập link đính kèm trong email để đọc comment này. Tâm lý chung của đa số người dùng sẽ là nhấn truy cập để xem nội dung mà mình được nhắc tới.
Nhận xét trên email có thể đính kèm các liên kết dẫn đến phần mềm độc hại, hoặc các trang web lừa đảo được thiết kế tinh vi. Rõ ràng là không có bất cứ cơ chế kiểm tra/lọc nào của Google có thể được áp dụng trong trường hợp này.
Ngoài ra, email của tác nhân độc hại không được hiển thị trong thông báo, và người nhận chỉ nhìn thấy tên. Điều này làm cho việc mạo danh trở nên rất dễ dàng, đồng thời giúp tăng cơ hội thành công cho hacker.
Tệ hơn, những kẻ tấn công không cần phải chia sẻ tài liệu với các mục tiêu của chúng, vì chỉ việc đề cập đến nạn nhân là đủ để gửi các thông báo độc hại.
Kỹ thuật tương tự cũng hoạt động trên các nhận xét trong Google Slide, và thậm chí cả trong dịch vụ Google Workspace.
Theo các chuyên gia bảo mật, cách duy nhất để giảm thiểu rủi ro của hình thức tấn công này, cũng như những chiến dịch tương tự là tuân thủ các lưu ý bảo mật sau:
- Xác nhận rằng email của người gửi khớp với một người nào đó mà bạn đã biết (hoặc đã xác minh).
- Tránh nhấp vào những liên kết gửi đến qua email và được nhúng vào các nhận xét.
- Triển khai các biện pháp bảo mật bổ sung áp dụng quy tắc chia sẻ tệp chặt chẽ hơn trên Google Workspace.
- Sử dụng giải pháp bảo mật internet từ một nhà cung cấp đáng tin cậy có tính năng bảo vệ URL lừa đảo.