研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾邮件发送给受害者。由于垃圾邮件由 Google 发出,通常可以绕过检查送递到受害者。
此类电子邮件统计图
多年来攻击者一直滥用该功能,但最近该功能被滥用的尤为严重。
Google 表单
在 Google 表单中创建新表单时,作者可以选择“将其设为问卷调查”,并且选择在手动审核后将成绩发送给参与者的电子邮件。
表单配置
表单配置
配置好表单后,攻击者就获得了访问该表单的链接。随后攻击者使用受害者的电子邮件地址填写表格并提交,如何回答表单中的问题并不重要,生成的测试如下所示:
后台统计数据
点击 Release Scores 就可以向所有的提交者发布电子邮件。电子邮件中可以包含自定义的文本或者 URL,Google 再将邮件发送给对应的账户。由于电子邮件来自 Google,很可能会绕过各种安全检查机制。
加密货币诈骗
以下是通过 Google 表单发送的垃圾邮件示例:后台统计数据
点击 Release Scores 就可以向所有的提交者发布电子邮件。电子邮件中可以包含自定义的文本或者 URL,Google 再将邮件发送给对应的账户。由于电子邮件来自 Google,很可能会绕过各种安全检查机制。
加密货币诈骗
以下是通过 Google 表单发送的垃圾邮件示例:
垃圾邮件
受害者点击查看后,就会被重定向到虚假网址:
跳转引导页面
在表单回复中,攻击者提供了跳转网站的链接。该链接指向另一个 Google 表单,要求受害者确认电子邮件地址。在这个攻击阶段,第二个表单中输入电子邮件地址时,受害者会收到包含指向外部网站(go-procoinwhu[.]top)链接的响应。
确认后的跳转链接
该域名于 2023 年 10 月 28 日创建,但请求量已经快速增长。
域名请求趋势
点击 Google 表单响应中 go-procoinwhu[.]top 链接会触发 CloudFlare 的 302 重定向,将受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。该域名也是在 2023 年 10 月 25 日才创建的,DNS 请求模式也与前述域名类似。
域名请求趋势
受害者被重定向到 dudicyqehama.top 时,会看到一个精心设计的诈骗网站。该网站声称受害者通过“云计算挖掘比特币”在账户中拥有超过 1.3 个比特币,网站声称这些比特币价值超过 4.6 万美元。
诈骗网站
一旦受害者点击继续,就会进入登录页面。用户名和密码已经预先填写到表单中,受害者只需要点击登录按钮即可。
诈骗网站
该诈骗网站竭尽全力显得十分正常,甚至加入了群聊功能,受害者可以在其中看到各种用户讨论加密货币。受害者登录后也可以发布评论,但很明显这些都不是真正的用户。
虚假群聊
受害者试图领取比特币时,会被重定向到名为 Sophia 的代理进行实时聊天的页面。
聊天页面
Sophia 与受害者聊了一会,又发送了一份表格让受害者填写以收取比特币。
填写表格
该表格要求受害者填写姓名、电子邮件地址以及用户期望的提现方式。
提现表格
填写表格后,受害者会被重定向到与 Sophia 的聊天,Sophia 给出一个按钮启动比特币提现。
聊天截图
现在就可以看到诈骗的结局,受害者想要提取 4.8 万美元就必须支付 0.25% 的手续费(64 美元)。
要求支付手续费
当受害者点击兑换比特币时,会看到最后一张表格,提示受害者输入姓名、电子邮件和电话号码。
付款表格
点击支付就会出现比特币钱包的二维码。幸运的是,目前还没有人被诈骗向攻击者支付手续费。截至到 2023 年 11 月 6 日,该比特币钱包仍然是空的。
钱包二维码
攻击者费尽心机设置这个诈骗骗局,通过社会工程学做了大量的准备工作。