详细内容或原文请订阅后点击阅览
求职骗局使用虚假的 Google 表单网站来获取 Google 登录信息
网络钓鱼者正在使用相似域上托管的虚假 Google 表单页面来诱骗求职者交出其 Google 凭据。
来源:Malwarebytes Labs 博客作为我们对以工作为主题的网络钓鱼活动的调查的一部分,我们发现了几个可疑的 URL,它们都如下所示:
https://forms.google.ss-o[.]com/forms/d/e/{unique_id}/viewform?form=opportunitysec&promo=
子域 forms.google.ss-o[.]com 显然是试图冒充合法的 forms.google.com。 “ss-o”可能看起来像“单点登录”,这是一种身份验证方法,允许用户使用一组凭据(用户名和密码)安全地登录多个独立的应用程序或网站。
不幸的是,当我们尝试访问这些 URL 时,我们被重定向到本地 Google 搜索网站。这是网络钓鱼者的常见策略,旨在防止受害者与研究人员或在线分析分享他们的个性化链接。
经过一番挖掘,我们在同一域中发现了一个名为 Generation_form.php 的文件,我们相信网络钓鱼人员使用该文件来创建这些链接。该活动的登陆页面是:https://forms.google.ss-o[.]com/ Generation_form.php?form=opportunitysec
Generation_form.php 脚本的作用正如其名称所暗示的那样:它为单击该链接的人创建一个个性化的 URL。
有了这些知识,我们就可以检查网络钓鱼的内容。我们的个性化链接将我们带到了这个网站:
提示承诺后面的灰色“表单”:
整个网页模仿Google Forms,包括徽标图像、配色方案、关于不要“提交密码”的通知以及法律链接。在底部,它甚至包括典型的 Google 表单免责声明(“此内容既不是由 Google 创建也不是由 Google 认可。”)以确保真实性。
如何保持安全
IOC
id-v4[.]com
forms.google.ss-o[.]com