Menu dostępności

Odkryto nową taktykę phishingu, wykorzystującą Google Accelerated Mobile Pages (AMP)

Nowa taktyka phishingu i technika ukrywania hakerów wykorzystująca Google AMP. Omija zabezpieczenia poczty

Odkryto nową taktykę phishingu, wykorzystującą Google Accelerated Mobile Pages (AMP) oraz techniki ukrywania, które skutecznie omijają infrastrukturę bezpieczeństwa poczty e-mail.

Co to takiego Google AMP?

Framework HTML typu open source o nazwie Google AMP służy do tworzenia stron internetowych kompatybilnych z urządzeniami mobilnymi i przeglądarkami. Strony AMP są hostowane na serwerach Google, gdzie treść jest uproszczona, a niektóre cięższe elementy multimedialne wstępnie ładowane w celu szybszego dostarczania.

Złośliwe maile z linkami AMP

W ramach nowej strategii cyberprzestępcy zaczęli używać adresów URL Google AMP jako linków w swoich wiadomościach phishingowych.

Celem wykorzystania adresów URL Google AMP w wiadomościach phishingowych jest uniemożliwienie technologii ochrony poczty e-mail oznaczania wiadomości jako złośliwych lub podejrzanych ze względu na ich dobrą reputację Google.

Adresy URL AMP powodują przekierowanie do złośliwej witryny wyłudzającej informacje, a ten dodatkowy krok dodaje również warstwę zakłócającą analizę.

schemat phishingu z wykorzystaniem amp
Źródło: Cofense

Zaobserwowano cyberprzestępców, którzy hostowali złośliwe strony internetowe przy użyciu ścieżki adresu URL Google AMP w swoich wiadomościach phishingowych w celu kradzieży danych logowania do poczty e-mail. Wykrycie złośliwego charakteru wiadomości może być trudne dla infrastruktury bezpieczeństwa poczty, ponieważ używane adresy URL są hostowane w legalnych domenach Google. Dodanie Google Analytics daje również przestępcom możliwość śledzenia interakcji użytkowników na ich stronach phishingowych.

Adres URL Google AMP działa bardzo podobnie do przekierowania, odsyłając użytkowników z początkowego adresu URL do adresu URL znalezionego w ścieżce. W tym przykładzie jest to adres URL hostowany w domenie netbitsfibra[.]com.

Phishing AMP - przykład
Źródło: Cofense

Według raportu Cofense adresy URL są niezwykle skuteczne w docieraniu do konsumentów w środowiskach chronionych przez bezpieczne bramy poczty e-mail (SEG – Security Email Gateway).

Zaobserwowana skala zjawiska
Źródło: Cofense

„Spośród wszystkich adresów URL Google AMP, które zaobserwowaliśmy, około 77% było hostowanych w domenie google.com, a 23% w domenie google.co.uk” – informuje Cofense.

„Ścieżka adresu URL jest dobrym wskaźnikiem tej kampanii phishingowej, ale trudno jest całkowicie zablokować google.com/amp/s/ ze względu na legalne zastosowania”.

Zaobserwowane strategie i techniki ukrywania stosowane w kampaniach

1. Użycie zaufanych domen

Zaufane domeny są często wykorzystywane na wszystkich etapach prób wyłudzania informacji, nie tylko pierwsza domena Google.

W kilku kampaniach wykorzystujących podejście Google AMP przekierowanie adresu URL było elementem adresu URL, a także dodatkowym etapem. Analiza anomalii zyskuje dzięki temu nową warstwę.

Użycie zaufanych domen
Źródło: Cofense

2. Zaszyte w mailach grafiki

Wykorzystano e-maile phishingowe oparte na obrazach, zastępując zwykłą treść tekstową zakodowanym obrazem HTML, który ma osadzony szkodliwy odsyłacz i który odbiorca może kliknąć. Tym sposobem cyberprzestępca może zakłócić analizę przez SEG.

Phishing amp w mailach
Źródło: Cofense

„Przypadki użycia, w jakich stosuje się te e-maile są różne, ale to przede wszystkim powiadomienia e-mail, prośby, przypomnienia, udostępniane pliki lub są związane z finansami” – pisze Cofense.

3. Wykorzystanie CAPTCHA z Cloudflare

Nie jest zaskakujące, że Cloudflare CAPTCHA się ujawniło, ponieważ w atakach phishingowych to często stosowana taktyka. Korzystanie z usług CAPTCHA zakłóca automatyczną analizę i wymaga ręcznego zbadania każdej kampanii phishingowej. Kampanie wykorzystujące tę taktykę okazały się trudne do uchwycenia, ponieważ wykorzystują inne TTP. Pozwala to na ominięcie infrastruktury bezpieczeństwa poczty e-mail.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...