網絡攻擊者向某些組織發送了數千封電子郵件，研究人員警告說，這是犯罪分子在進行信息偵察活動，其目的是為以后要進行的商業電子郵件攻擊(BEC)確定目標。

研究人員觀察到從2020年12月到現在，該攻擊者已經向公司發送了數千封郵件，主要是發送給零售、電信、醫療保健、能源和制造業部門。值得注意的是，此次攻擊活動利用了谷歌的Forms調查工具。為了繞過電子郵件內容過濾系統，網絡犯罪分子使用谷歌表單來收集信息并不新鮮，這在憑證釣魚攻擊活動中經常會觀察到。然而，研究人員表示，在這種攻擊中，使用Google Forms還可以使郵件收件人和攻擊者之間保持聯系，從而對他們進行BEC攻擊。

[[378417]]

據Proofpoint研究人員在周三的分析中稱，"這種活動通過利用谷歌服務與社會工程學攻擊相結合的方式，使攻擊更具有規模性和合法性，在BEC攻擊中經常會見到。"。

這些信息中包含了目標組織中C級高管的名字，這表明網絡犯罪分子在進行攻擊的時候做好了充分的準備。研究人員表示，這些郵件本身 "形式很簡單，但內容卻給人以緊迫感"，它們問受害者能否立即去做一件事，發件人聲稱自己是要去開會或太忙，無法親自處理這項任務，并在郵件中附加了一個鏈接。

這個鏈接會將受害者引向一個托管在Google Forms基礎設施上的無標題的表格。Google Forms是一款調查管理軟件，是Google的Doc Editors套件的一部分。奇怪的是，這次攻擊活動中使用的表格是空白的，只是寫著 "無標題表格 "。

研究人員認為，這樣做的目的是為了使受害者回復電子郵件，回復說調查問卷被破壞了或者說表格是有問題的。這可以為受害者和攻擊者之間的更進一步的交流奠定基礎，為后續進行的BEC攻擊做好準備。

研究人員說:"該表格很可能只是一個探測工具，簡單地看看是否有人填寫他們的信息，作為一種新的探測技術，那些習慣點擊郵件鏈接的用戶很容易成為受害者"。

盡管使用了這一攻擊技巧，但郵件本身有幾處明顯的錯誤，很可能會讓收件人看出破綻。包括錯誤的拼寫和一些不規范的語法。其中一封郵件說："你現在有時間嗎，現在幫我做一件事，點擊=m標題進入一個會議，我現在不能接收電話或短信 只能給我發e=ail。"

另一個非常明顯的地方就是這次攻擊活動中發件人使用的電子郵件地址，在某些情況下，這些地址一眼就能看出不是合法的電子郵件地址(比如fgtytgyg[@]gmail.com)。

Proofpoint威脅研究和檢測高級總監Sherrod DeGrippo告訴Threatpost："我們并沒有研究出這些郵件地址的組合規律，同時，有些地址看起來像是隨機拼湊而成的，而其他地址則結合使用了常見的名稱或短語"

研究人員認為，這只是攻擊活動的最初階段。他們表示，攻擊者可能是正在收集信息，確定后續的攻擊目標。

研究人員說："郵件中使用緊急語氣與之前的BEC攻擊者的行為是一致的，因此，我們希望這些信息對于客戶和社區有警醒作用"。

攻擊者此前曾利用過包括谷歌表單在內的其他谷歌服務，然后發動各種惡意攻擊。曾在11月的一次網絡釣魚攻擊活動中，犯罪分子利用谷歌表單來收集受害者的憑證，這些表單偽裝成了25家不同的公司、品牌和政府機構的登錄頁面。11月的另一次攻擊活動中使用了谷歌表格和美國運通的標志，并企圖獲取受害者的敏感信息。同樣在11月，騙子利用Google Drive協作功能，欺騙用戶點擊惡意鏈接進行攻擊。

Proofpoint研究人員說："雖然社會工程學攻擊在電子郵件傳播攻擊中非常普遍，但它在惡意軟件攻擊和憑證釣魚攻擊中的應用方式與在BEC活動中的應用方式是不同的，在惡意軟件攻擊活動中，社會工程學是在攻擊的初始階段使用的。相反，在BEC中，社會工程學在整個攻擊過程中都會使用到。雖然這種攻擊很少見，我們發現的攻擊方式通常是惡意攻擊者在獲取受害人的信任后，向受害人提供惡意軟件來進行攻擊。"

本文翻譯自：https://threatpost.com/google-forms-set-baseline-for-widespread-bec-attacks/163223/