Siber güvenlik manzarası, Google’ın kodsuz platformu Appsheet’i kullanıcı kimlik bilgilerini hasat etmek için silahlandıran yeni bir kimlik avı kampanyasına tanık oldu.
Saldırganlar, Appsheet’in güvenilir e -posta altyapısını kötüye kullanarak geleneksel güvenlik kontrollerini atlıyor ve meşru alanlardan kötü amaçlı içerik sunuyor.
Bu gelişme, sadece gönderenin özgünlüğünü değil, mesaj niyetini analiz eden bağlam-duyarlı algılama sistemlerine acil ihtiyacın altını çizmektedir.
Google tarafından 2020’de satın alınan AppSheet, kullanıcılara Google sayfaları, Excel dosyaları ve bulut veritabanları gibi veri kaynaklarından mobil ve web uygulamaları oluşturmalarını sağlar.
Google Workspace ile sıkı bir şekilde entegre olan uygulama bildirimleri, veri senkronizasyonu onayları, kullanıcı erişim istekleri, sistem durumu uyarıları ve iş akışı güncellemeleri için otomatik e -postalar gönderir.
Dünya çapında kuruluşlar “AppSheet.com” iletişimini doğal olarak güvenilir olarak görerek onları Google’ın titiz güvenlik standartlarıyla ilişkilendiriyor. Milyonlarca işletme, kod yazmadan süreçleri kolaylaştırmak için uygulama sayfasından yararlanır ve bu da uygulama mesajlarının her yerde bulunduğu ve nadiren sorgulandığı kurumsal ortamlara neden olur.
Kimlik avı kampanyası
Yakın tarihli bir kimlik avı e -postaları dalgası, tespitten kaçınmak için uygulama sayfası meşru posta sunucularını ve kimlik doğrulama protokollerini kaldırdı.
Appsheet markalı e-postalar aracılığıyla Google çalışma alanı merkezli kuruluşları hedefleyen yeni bir kimlik avı kampanyası, saldırganlar meşru altyapıyı kötüye kullandığında geleneksel güvenlik kontrollerinin nasıl işe yaramaz hale geldiğini mükemmel bir şekilde göstermektedir.
Harekete geçme çağrısı, kurbanları kimlik doğrulama sayfalarına yönlendirerek benzer bir Google URL kısaltıcı kullandı.
Saldırganlar üç temel istismar senaryosu kullandı:
- Hesap uzlaşması
Gerçek Appsheet hesaplarını ele geçirerek, saldırganlar kötü amaçlı bağlantıları otantik şablonlara yerleştirir. - Özellik İstismarı
Rakipler, kimlik avı mesajlarını dağıtmak için yeni Appsheet hesapları oluşturur ve bildirim sistemlerini veya form üreticilerini yanlış kullanır. - Şablon enjeksiyonu
Kötü niyetli aktörler, kullanıcı tarafından oluşturulan şablonlara haydut URL’ler enjekte eder, ardından kimlik avı e-postalarını ölçeklendirme e-postalarını göndermek için Appsheet’in altyapısını kullanırlar.
Bu kampanya, ilk olarak Appsheet tabanlı kimlik avının 20 Nisan’da zirveye ulaştığı ve küresel kimlik avı e-posta hacminin% 10,88’ini oluşturduğu Mart 2025’te gözlemlenen bir trend üzerine inşa ediliyor. Hemen hemen hepsi PayPal’ı hedefleyen küçük bir kesir ile meta.
Bu daha önceki çaba, uygulama sayfası ile çalışan saldırıların ölçeklenebilirliğini ve gizliliğini göstererek, Vercel gibi polimorfik tanımlayıcılar ve Vercel gibi saygın barındırma platformlarını kullandı.
Raven Ai saldırıyı nasıl yakaladı?
Geleneksel e -posta savunmaları – etki alanı itibarı ve kimlik doğrulama kontrolleri üzerine odaklanmış – bu kampanyaya karşı etkisiz. Bununla birlikte, Raven’ın yapay zeka ile çalışan, bağlama duyarlı motoru, mesaj içeriği ve niyetinde anomalileri tanımladı.
Analizi, e-postanın konusunun, gövde içeriğinin ve harekete geçirici mesajın gerçek uygulama sayfası kullanım durumlarıyla uyumlu olup olmadığını değerlendirmek için gönderen meşruiyetinin doğrulanmasının ötesinde genişlemiştir.
Anahtar algılama göstergeleri şunları içerir:
- Bağlamsal uyumsuzluk: Raven, Appsheet’in bu formatta ticari marka uygulama veya yasal uyumluluk bildirimleri yayınlamayacağını kabul etti.
- Şüpheli URL Kısaltma: “Goo.su” kullanımı Appsheet’in tipik iletişim kalıplarından sapmıştır.
- İçerik-denek uyuşmazlığı: Konu satırı yetkisiz veri toplama atıfta bulunurken, uygulama sayfası bildirimleri nadiren yasal uyumluluğu doğrudan ele alır.
- Davranış kalıpları: Raven, bu kampanyayı, polimorfik şablonlardaki mesajlaşmadaki ince değişiklikleri tespit ederek önceki uygulama sayfası kötüye kullanmalarıyla ilişkilendirdi.
Şüpheli mesajları işaretledikten sonra Raven, yöneticilere, harekete geçmeden önce bağlantıları doğrulamalarını ve Appsheet veya Google Cloud hukuk ekipleriyle iletişime geçmelerini tavsiye etti ve kimlik bilgisi uzlaşmasını etkili bir şekilde önledi.
Appsheet kimlik avı kampanyası, yalnızca kimlik doğrulamaya dayalı savunmalara dayanarak temel bir kusur gösterir.
Saldırganlar, SPF, DKIM ve DMARC kontrollerini geçen kötü niyetli içerikler sunmak için meşru platformları giderek daha fazla kötüye kullanıyor. Güvenlik ekipleri ikili “güvenilir ve güvenilmeyen” modellerden davranışsal ve bağlamsal güven çerçevelerine geçmelidir.
Gelecekteki e -posta güvenliği şunları içermelidir:
- Hizmet kullanım normlarına karşı içerik uygunluğunun dinamik analizi.
- Makine Öğrenme Modelleri Belirli platformlar için iletişim kalıpları üzerinde eğitildi.
- Anomalileri tespit etmek için mesaj meta verilerinin tarihsel aktivite ile gerçek zamanlı korelasyonu.
Rakipler, uygulama sayfası gibi yaygın olarak benimsenen hizmetlerin altyapısını kullandıkça, kuruluşlar sadece gönderen itibarına güvenmeyi göze alamazlar. Sadece bağlam odaklı, davranış odaklı tespiti benimseyerek işletmeler yeni nesil sofistike kimlik avı tehditlerine karşı savunabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.