A Sophos publicou uma pesquisa intitulada “Phishing and Malware Actors Abuse Google Forms for Credentials, Data Exfiltration“, que descreve como os ciberataques — de golpistas iniciantes a avançados — fazem uso do Google Forms para implementar uma ampla variedade de ataques, visando organizações e indivíduos.
“O Google Forms oferece aos ciberataques uma proposta atraente: eles são fáceis de implementar e têm a confiança de organizações e consumidores; o tráfego de e para o serviço é protegido com criptografia TLS (Transport Layer Security) para que não possa ser facilmente inspecionado pelos defensores; e toda a configuração fornece, essencialmente, uma infraestrutura de ataque gratuita”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.
Abaixo estão as sete maneiras identificadas por pesquisadores da Sophos sobre como cibercriminosos usam o Google Forms:
1) Phishing: apesar do fato de o Google alertar os usuários em todas as páginas de um formulário para não inserirem detalhes de senha, a Sophos encontrou vários exemplos em que os invasores tentaram convencer as vítimas a inserir suas credenciais em um Formulário Google organizado para se assemelhar a uma página de login. Esses formulários costumam estar vinculados a campanhas de spam mal-intencionadas;
2) Campanhas de spam mal-intencionadas: uma das maiores fontes de links de Google Forms em spam são os links de “cancelamento de inscrição” em e-mails de marketing relacionados a golpes. A Sophos interceptou várias campanhas de phishing baseadas em spam que visavam contas online da Microsoft, incluindo o Office365. O spam alegou que as contas de e-mail dos destinatários estavam prestes a ser encerradas se não fossem verificadas imediatamente e ofereceu um link para um Formulário Google que pedia ao usuário para inserir suas credenciais da Microsoft. Essas páginas foram decoradas com gráficos da Microsoft, mas, ainda assim, era claramente um Formulário Google;
3) Roubo de dados de cartão de pagamento: golpistas básicos usam modelos de design prontos do Google Forms para tentar roubar dados de pagamento por meio de páginas falsas de comércio eletrônico “seguras”;
4) Aplicativos potencialmente indesejados (PUAs), como adware: os pesquisadores descobriram vários PUAs direcionados aos usuários do Windows. Esses aplicativos usam páginas do Google Forms clandestinamente, com as solicitações da web coletadas e enviadas automaticamente, sem a necessidade de interação do usuário;
5) Interfaces de usuário falsas para aplicativos Android mal-intencionados: a Sophos encontrou alguns aplicativos Android mal-intencionados que faziam uso do Google Forms para capturar dados sem a necessidade de codificar um site back-end. A maioria deles era adware ou PUAs. Por exemplo, os pesquisadores descobriram o “SnapTube”, um aplicativo de vídeo que gera receita para o desenvolvedor por meio de fraude de publicidade na web e que inclui uma página do Google Forms para feedback do usuário;
6) Remoção de dados: os pesquisadores descobriram uma série de ameaças mais sofisticadas que abusam do Google Forms. Isso incluía aplicativos maliciosos do Windows que usavam solicitações da web para páginas do Google Forms para “enviar” dados roubados de computadores para uma planilha do Google;
7) Parte da infraestrutura mais ampla de ataque cibernético malicioso: a telemetria da Sophos detectou uma série de scripts do PowerShell interagindo com o Google Forms. A companhia foi capaz de criar um protótipo de como os scripts do PowerShell poderiam ser usados para extrair dados de criação de perfil do Windows de um computador e enviá-los para um Formulário do Google automaticamente.
“O Google frequentemente fecha contas associadas a mau uso em massa de aplicativos, incluindo o Google Forms”, conta Gallagher. “No entanto, o tipo de uso direcionado de baixo volume do Forms por algum malware pode ficar fora do radar. Os especialistas de TI das empresas precisam estar alertas a essa ameaça e ter cuidado sempre que virem links para o Google Forms ou qualquer outro serviço legítimo que tente obter credenciais, e não devem confiar inerentemente no tráfego TLS para domínios ‘bons’, como docs.google. com”, conclui.
