Злоумышленники маскируют фишинг под рассылки Google AppSheet

В последние годы фишинговые рассылки стали намного хитрее и убедительнее. Почтовые адреса почти неотличимы от настоящих, письма составлены очень грамотно, к пользователям обращаются по настоящему имени… Но как быть, если на почту пришло подозрительное письмо c действительно легитимного адреса электронной почты?

В последнее время злоумышленники активно используют для фишинговых атак платформу Google AppSheet: через нее можно настроить почтовую рассылку, которая отправляется c почтового адреса, связанного с Google. В результате атаки злоумышленники крадут учетные записи и конфиденциальные данные своих жертв.

В этой статье рассказываем, как работает новая схема кражи данных и как защититься от хитрых фишинговых атак.

Вас приглашает на работу Google. Или Coca-Cola. Или Volvo. Или нет?

AppSheet — это сервис Google, который позволяет собирать приложения без навыков программирования. Им часто пользуются в малом бизнесе для автоматизации рутинных процессов. К сожалению, именно эта простота делает AppSheet привлекательным и для злоумышленников. Теперь для запуска фишинговой схемы достаточно заплатить всего несколько долларов и по-быстрому собрать программу из готовых команд и блоков.

Сценарий фишинговых атак через AppSheet довольно стандартен. Жертве приходит письмо от имени крупной компании — причем начинаются такие письма зачастую с поименного обращения. Скорее всего, злоумышленники обрабатывают данные из утечек и просто подставляют имена, связанные с конкретными адресами электронной почты.

Дальше злоумышленники пытаются сыграть на эмоциях получателя — либо запугивая грозными предупреждениями, требующими якобы немедленных действий («мы скоро отключим ваш аккаунт», «замечена подозрительная активность»), либо радуя заманчивыми предложениями вроде возможности получить значок верификации аккаунта или приглашение на собеседование в крупную компанию. «Письма счастья» от «кадровых отделов» при этом составлены так, чтобы у получателя возникло ощущение, будто его кандидатуру уже рассмотрели, высоко оценили и готовы принять его на работу хоть завтра.

Вероятно, у многих получателей подобное письмо не вызовет подозрений: письмо не попало в спам, а в поле «Отправитель» указано реальное название компании, от имени которой пришло письмо. Увы, это не гарантирует подлинности письма: в отображаемом имени отправителя злоумышленник может указать все, что ему заблагорассудится. А на истинный адрес отправителя письма мало кто обращает внимание.

В фишинговых рассылках через AppSheet отправитель всегда один: noreply{@}appsheet.com. Загвоздка в том, что этот адрес абсолютно легитимен: он связан с инфраструктурой Google, и велика вероятность, что стандартные антиспам-фильтры пропустят подобные письма без малейших сомнений.

Естественно, чтобы записаться на заветное «собеседование» или проверить, что же не так с аккаунтом, жертве нужно перейти по ссылке из письма и добровольно оставить все свои данные на поддельном сайте: полное имя, адрес, номер телефона… Полученные персональные данные злоумышленники могут затем перепродать на теневом рынке или использовать для последующих целевых атак. В конце жертву, как правило, перенаправляют на фишинговую форму авторизации, благодаря которой злоумышленники крадут учетные записи.

Ниже показано, как выглядит типичный путь от получения письма от якобы «карьерного портала Google» до кражи данных аккаунта:

Аналогичные письма приходят от имени и других IT-гигантов. Кстати, пользователи, передавшие данные от своего аккаунта Apple, рискуют лишиться не только аккаунта, но и всех своих Apple-устройств. Злоумышленник может попросить жертву выйти из личного Apple ID и войти в якобы «корпоративный» аккаунт для «верификации» (на самом деле это Apple ID, принадлежащий преступникам). После этого устройство удаленно переводят в «режим пропажи», а от жертвы начинают требовать выкуп за разблокировку девайса.

Порой злоумышленники не отправляют фишинговую ссылку сразу, а пытаются втянуть человека в переписку и просят подтвердить интерес к «вакансии» ответным письмом, чтобы создать впечатление общения с реальным человеком. Причем «работу» предлагают не только от имени крупных IT-компаний, но и от лица известных брендов, например Volvo или Coca-Cola. Маловероятно, что злоумышленникам нужен чей-то аккаунт от сайта Coca-Cola — если такой у пользователя вообще когда-либо был. Скорее всего, цель в том, чтобы украсть конфиденциальные данные или убедить пользователя залогиниться в фишинговой форме.

Не хотите ли «синюю галочку»?

Иногда вместо «работы мечты» пользователям приходят и другие заманчивые предложения. В некоторых письмах «служба поддержки Facebook*» уверяет пользователя в том, что он может претендовать на престижный значок подтверждения Meta** Verified, который обычно выдают знаменитостям и брендам. Чтобы пройти отбор на «синюю галочку», жертва должна перейти на фишинговый сайт, заполнить анкету с контактной информацией и указать логин-пароль от аккаунта Facebook*. Естественно, в «целях безопасности»!

Подобные сайты-подделки создают на самых разных языках и адаптируют под пользователей из разных стран. Ниже приведен нидерландский вариант.

В других письмах, разосланных с помощью AppSheet, злоумышленники давят на страх, например уведомляют пользователя о том, что он нарушил политику в отношении интеллектуальной собственности Meta**, и угрожают навсегда заблокировать его аккаунт в Facebook*. Чтобы оспорить это решение, жертве нужно перейти по ссылке на фишинговый сайт, указать свою персональную информацию и, разумеется, ввести логин и пароль от аккаунта Facebook*.

Как распознать фишинг и защитить свои аккаунты

Увы, фишинговые атаки становятся все более изощренными и злоумышленники зачастую используют в атаках легитимные сервисы и домены. Рассказываем, как не стать жертвой преступников и сберечь свои данные.

• Помните: не все фишинговые письма попадают в папку «Спам». Стандартные спам-фильтры почтовых клиентов зачастую не распознают продвинутые атаки — случай с AppSheet тому наглядный пример. Чтобы случайно не попасться на крючок злоумышленников, используйте Kaspersky Premium на всех своих устройствах: наше защитное решение распознает фишинговые письма и предотвращает переход на поддельные сайты, даже если отправитель использует легитимный домен. А версия для Android умеет распознавать вредоносные и фишинговые ссылки в сообщениях от любых приложений.
• Проверьте, нет ли в письме странных опечаток. Злоумышленники часто пользуются лишними пробелами и меняют символы, чтобы почтовые спам-фильтры не сработали на их письма. Пример из одного из найденных нами писем: Fac eb o ok*  S u ppo r t вместо Facebook* Support.
• Прежде чем выполнять какие-либо действия на сайте, внимательно сверьте его доменное имя с официальным адресом сервиса. Злоумышленники часто создают адреса, которые лишь внешне похожи на настоящие. Установите Kaspersky Premium, чтобы всегда быть уверенными в том, что вы не зайдете на сайт-подделку.
• Прежде всего смотрите не на отображаемое имя, а на адрес отправителя. Если вам пишет кто-то от имени Google Careers, Apple HR или службы поддержки Facebook*, но при этом адрес отправителя почему-то связан с AppSheet или каким-то другим сервисом, — это повод насторожиться. Сверяйте почтовые адреса с теми, которые указаны на официальных сайтах компаний.
• Проверьте, нет ли в письме подписей. К примеру, все письма, разосланные через AppSheet, имеют пометку об этом в самом конце. Куда более вероятно, что вы получите легитимную AppSheet-рассылку от имени небольшой компании или бизнеса, но уж точно не от IT-гигантов. Крупные компании, как правило, используют для рассылок собственные домены.
• Используйте менеджер паролей. Даже если вы откроете поддельный сайт и попытаетесь ввести свой пароль, надежный менеджер паролей предупредит вас о несоответствии доменов и не даст вам подставить логин и пароль.
• Не забывайте про двухфакторную аутентификацию. Если она включена, злоумышленникам для входа в ваш аккаунт будет недостаточно логина и пароля — потребуется еще одноразовый код. Впрочем, они могут попытаться выманить и его, поэтому будьте вдвойне внимательны, вводя одноразовые коды двухфакторной аутентификации где бы то ни было.
• Используйте ключи доступа вместо паролей везде, где это возможно. Эта технология отлично защищает от фишинга: даже если вы перейдете на сайт злоумышленника и попытаетесь авторизоваться, ключ доступа не сработает на поддельном домене. Хранить и синхронизировать ключи доступа между разными устройствами можно в Kaspersky Password Manager. Подробнее о том, как работают ключи доступа, читайте в нашей статье.

Фишинговые атаки становятся все изощреннее. Что еще стоит знать о фишинге:

• Куда попадают украденные данные после фишинговой атаки
• Атака «Браузер в браузере» — от теории к практике
• Фишинг и спам: лучшие кампании 2025 года
• Фишинг в Telegram Mini Apps: при чем тут папаха Хабиба?
• Как используют ИИ для фишинга и скама

* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.

** Компания Meta признана экстремистской организацией в Российской Федерации.