Google Docs gebruikt om BEC’s te laten slagen

Cybercriminelen gebruiken een nieuwe methode om de Office365-inloggegevens van nietsvermoedende gebruikers te stelen. Dit doen ze met behulp van Google formulieren.

Via phishingmailtjes proberen cybercriminelen slachtoffers te verleiden om een online formulier in te vullen, bijvoorbeeld met de smoes dat hun Office365-login is verlopen of dat er een update is van Office365.

Dat formulier is gemaakt in Google Forms, onderdeel van Google Docs. De afgelopen weken heeft het securitybedrijf Cofense regelmatig dergelijke phishingmails geconstateerd. Het vervelende is dat de phishingmails gewoon door de veiligheidscontroles zoals DKIM en SPF komen, aldus de onderzoekers.

De formulieren lijken dus sterk op Microsoft-documenten en zijn voorzien van een SSL-certificaat om ontvangers te laten geloven dat het afkomstig is van het bedrijf waar ze werken. Als een slachtoffer zijn inloggegevens invult, worden die via Google Drive verzonden aan de criminelen.

Eerder was al sprake van cybercriminelen die Microsoft Sway-documenten gebruikten voor een Business E-mail Compromise (BEC).