黑客滥用 Google 表单进行诈骗 _黑客

研究人员最近发现滥用 google 表单的垃圾邮件有所增加，攻击者首先在 Google 表单中创建新的问卷调查，并且利用受害者的电子邮件地址参与问卷调查，滥用 Google 表单的功能将垃圾邮件发送给受害者。由于垃圾邮件由 Google 发出，通常可以绕过检查送递到受害者。

文章插图
此类电子邮件统计图
多年来攻击者一直滥用该功能，但最近该功能被滥用的尤为严重。
Google 表单在 Google 表单中创建新表单时，作者可以选择“将其设为问卷调查”，并且选择在手动审核后将成绩发送给参与者的电子邮件。

文章插图
表单配置

文章插图
表单配置
配置好表单后，攻击者就获得了访问该表单的链接。随后攻击者使用受害者的电子邮件地址填写表格并提交，如何回答表单中的问题并不重要，生成的测试如下所示：

文章插图
后台统计数据
点击 Release Scores 就可以向所有的提交者发布电子邮件。电子邮件中可以包含自定义的文本或者 URL ， Google 再将邮件发送给对应的账户。由于电子邮件来自 Google，很可能会绕过各种安全检查机制。
加密货币诈骗以下是通过 Google 表单发送的垃圾邮件示例：

文章插图
垃圾邮件
受害者点击查看后，就会被重定向到虚假网址：

文章插图
跳转引导页面
在表单回复中，攻击者提供了跳转网站的链接。该链接指向另一个 Google 表单，要求受害者确认电子邮件地址。在这个攻击阶段，第二个表单中输入电子邮件地址时，受害者会收到包含指向外部网站（go-procoinwhu[.]top）链接的响应。

文章插图
确认后的跳转链接
该域名于 2023 年 10 月 28 日创建，但请求量已经快速增长。

文章插图
域名请求趋势
点击 Google 表单响应中 go-procoinwhu[.]top 链接会触发 CloudFlare 的 302 重定向，将受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/ 。该域名也是在 2023 年 10 月 25 日才创建的，DNS 请求模式也与前述域名类似。