研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾邮件发送给受害者。由于垃圾邮件由 Google 发出,通常可以绕过检查送递到受害者。
此类电子邮件统计图
多年来攻击者一直滥用该功能,但最近该功能被滥用的尤为严重。
Google 表单
在 Google 表单中创建新表单时,作者可以选择“将其设为问卷调查”,并且选择在手动审核后将成绩发送给参与者的电子邮件。
表单配置
表单配置
配置好表单后,攻击者就获得了访问该表单的链接。随后攻击者使用受害者的电子邮件地址填写表格并提交,如何回答表单中的问题并不重要,生成的测试如下所示:
后台统计数据
点击 Release Scores 就可以向所有的提交者发布电子邮件。电子邮件中可以包含自定义的文本或者 URL,Google 再将邮件发送给对应的账户。由于电子邮件来自 Google,很可能会绕过各种安全检查机制。
加密货币诈骗
以下是通过 Google 表单发送的垃圾邮件示例:
垃圾邮件
受害者点击查看后,就会被重定向到虚假网址:
跳转引导页面
在表单回复中,攻击者提供了跳转网站的链接。该链接指向另一个 Google 表单,要求受害者确认电子邮件地址。在这个攻击阶段,第二个表单中输入电子邮件地址时,受害者会收到包含指向外部网站(go-procoinwhu[.]top)链接的响应。
确认后的跳转链接
该域名于 2023 年 10 月 28 日创建,但请求量已经快速增长。
域名请求趋势
点击 Google 表单响应中 go-procoinwhu[.]top 链接会触发 CloudFlare 的 302 重定向,将受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。该域名也是在 2023 年 10 月 25 日才创建的,DNS 请求模式也与前述域名类似。
域名请求趋势
受害者被重定向到 dudicyqehama.top 时,会看到一个精心设计的诈骗网站。该网站声称受害者通过“云计算挖掘比特币”在账户中拥有超过 1.3 个比特币,网站声称这些比特币价值超过 4.6 万美元。
诈骗网站
一旦受害者点击继续,就会进入登录页面。用户名和密码已经预先填写到表单中,受害者只需要点击登录按钮即可。
诈骗网站
该诈骗网站竭尽全力显得十分正常,甚至加入了群聊功能,受害者可以在其中看到各种用户讨论加密货币。受害者登录后也可以发布评论,但很明显这些都不是真正的用户。
虚假群聊
受害者试图领取比特币时,会被重定向到名为 Sophia 的代理进行实时聊天的页面。
聊天页面
Sophia 与受害者聊了一会,又发送了一份表格让受害者填写以收取比特币。
填写表格
该表格要求受害者填写姓名、电子邮件地址以及用户期望的提现方式。
提现表格
填写表格后,受害者会被重定向到与 Sophia 的聊天,Sophia 给出一个按钮启动比特币提现。
聊天截图
现在就可以看到诈骗的结局,受害者想要提取 4.8 万美元就必须支付 0.25% 的手续费(64 美元)。
要求支付手续费
当受害者点击兑换比特币时,会看到最后一张表格,提示受害者输入姓名、电子邮件和电话号码。
付款表格
点击支付就会出现比特币钱包的二维码。幸运的是,目前还没有人被诈骗向攻击者支付手续费。截至到 2023 年 11 月 6 日,该比特币钱包仍然是空的。
钱包二维码
攻击者费尽心机设置这个诈骗骗局,通过社会工程学做了大量的准备工作。
IOC
https://go-procoinwhu.top/go/94z2/74w2
https://hdlgr.dudicyqehama.top/
https://ukjwj.dudicyqehama.top/
BC1QN9JKG3XYCRWPRZ4SKQWVSFY8C07PF83WP5FMXD
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》
这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
2048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
