研究人員最近發(fā)現(xiàn)濫用 Google 表單的垃圾郵件有所增加，攻擊者首先在 Google 表單中創(chuàng)建新的問卷調(diào)查，并且利用受害者的電子郵件地址參與問卷調(diào)查，濫用 Google 表單的功能將垃圾郵件發(fā)送給受害者。由于垃圾郵件由 Google 發(fā)出，通?？梢岳@過檢查送遞到受害者。

此類電子郵件統(tǒng)計圖

多年來攻擊者一直濫用該功能，但最近該功能被濫用的尤為嚴(yán)重。

Google 表單

在 Google 表單中創(chuàng)建新表單時，作者可以選擇“將其設(shè)為問卷調(diào)查”，并且選擇在手動審核后將成績發(fā)送給參與者的電子郵件。

表單配置

表單配置

配置好表單后，攻擊者就獲得了訪問該表單的鏈接。隨后攻擊者使用受害者的電子郵件地址填寫表格并提交，如何回答表單中的問題并不重要，生成的測試如下所示：

后臺統(tǒng)計數(shù)據(jù)

點擊 Release Scores 就可以向所有的提交者發(fā)布電子郵件。電子郵件中可以包含自定義的文本或者 URL，Google 再將郵件發(fā)送給對應(yīng)的賬戶。由于電子郵件來自 Google，很可能會繞過各種安全檢查機制。

加密貨幣詐騙

以下是通過 Google 表單發(fā)送的垃圾郵件示例：

垃圾郵件

受害者點擊查看后，就會被重定向到虛假網(wǎng)址：

跳轉(zhuǎn)引導(dǎo)頁面

在表單回復(fù)中，攻擊者提供了跳轉(zhuǎn)網(wǎng)站的鏈接。該鏈接指向另一個 Google 表單，要求受害者確認(rèn)電子郵件地址。在這個攻擊階段，第二個表單中輸入電子郵件地址時，受害者會收到包含指向外部網(wǎng)站（go-procoinwhu[.]top）鏈接的響應(yīng)。

確認(rèn)后的跳轉(zhuǎn)鏈接

該域名于 2023 年 10 月 28 日創(chuàng)建，但請求量已經(jīng)快速增長。

域名請求趨勢

點擊 Google 表單響應(yīng)中 go-procoinwhu[.]top 鏈接會觸發(fā) CloudFlare 的 302 重定向，將受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。該域名也是在 2023 年 10 月 25 日才創(chuàng)建的，DNS 請求模式也與前述域名類似。

域名請求趨勢

受害者被重定向到 dudicyqehama.top 時，會看到一個精心設(shè)計的詐騙網(wǎng)站。該網(wǎng)站聲稱受害者通過“云計算挖掘比特幣”在賬戶中擁有超過 1.3 個比特幣，網(wǎng)站聲稱這些比特幣價值超過 4.6 萬美元。

詐騙網(wǎng)站

一旦受害者點擊繼續(xù)，就會進(jìn)入登錄頁面。用戶名和密碼已經(jīng)預(yù)先填寫到表單中，受害者只需要點擊登錄按鈕即可。

詐騙網(wǎng)站

該詐騙網(wǎng)站竭盡全力顯得十分正常，甚至加入了群聊功能，受害者可以在其中看到各種用戶討論加密貨幣。受害者登錄后也可以發(fā)布評論，但很明顯這些都不是真正的用戶。

虛假群聊

受害者試圖領(lǐng)取比特幣時，會被重定向到名為 Sophia 的代理進(jìn)行實時聊天的頁面。

聊天頁面

Sophia 與受害者聊了一會，又發(fā)送了一份表格讓受害者填寫以收取比特幣。

填寫表格

該表格要求受害者填寫姓名、電子郵件地址以及用戶期望的提現(xiàn)方式。

提現(xiàn)表格

填寫表格后，受害者會被重定向到與 Sophia 的聊天，Sophia 給出一個按鈕啟動比特幣提現(xiàn)。

聊天截圖

現(xiàn)在就可以看到詐騙的結(jié)局，受害者想要提取 4.8 萬美元就必須支付 0.25% 的手續(xù)費（64 美元）。

要求支付手續(xù)費

當(dāng)受害者點擊兌換比特幣時，會看到最后一張表格，提示受害者輸入姓名、電子郵件和電話號碼。

點擊支付就會出現(xiàn)比特幣錢包的二維碼。幸運的是，目前還沒有人被詐騙向攻擊者支付手續(xù)費。截至到 2023 年 11 月 6 日，該比特幣錢包仍然是空的。

錢包二維碼

攻擊者費盡心機設(shè)置這個詐騙騙局，通過社會工程學(xué)做了大量的準(zhǔn)備工作。