הכלי הזה של גוגל הפך מטרה למתקפות זדון. כך תתגוננו מפניהן

כאשר גוגל נכנסת לשוק מסוים, זה לעיתים קרובות סימן רע למתחרים הקיימים. כך היה גם עם Google Forms - כלי לבניית טפסים ובחנים שהושק בשנת 2008. לפי הערכות, כיום יש לו נתח שוק של כמעט 50%.

אך עם נתח שוק גדול מגיעה גם תשומת לב גדולה יותר מצד גורמים זדוניים. שחקני איום ידועים ביכולתם לנצל טכנולוגיות פופולריות לטובתם - וזה בדיוק מה שהם עושים עם Google Forms: משתמשים בו כדי לאסוף מידע רגיש מהקורבנות ואף לשכנע אותם להתקין נוזקות.

שחקנים זדוניים מחפשים כל הזמן דרכים לגרום להונאות שלהם להיראות לגיטימיות ולעקוף מסנני אבטחת דוא"ל. Google Formsמספק להם הזדמנות מצוינת לעשות את שני הדברים גם יחד.

• חינמי - מה שמאפשר לתוקפים להשיק קמפיינים בקנה מידה רחב, עם פוטנציאל לרווח גבוה על ההשקעה.
• נהנה מאמון המשתמשים- מה שמעלה את הסבירות שהקורבנות יחשבו שהטופס ששלחו להם או שקיבלו אליו הפניה הוא לגיטימי.
• שירות לגיטימי - ולכן טפסים וקישורים זדוניים העוברים דרכו לעיתים קרובות לא נחסמים על ידי כלים מסורתיים לאבטחת דוא"ל.
• קל לשימוש - שזה נהדר עבור משתמשים תמימים, אבל גם נוח מאוד עבור עברייני סייבר - שמסוגלים להשיק קמפיינים משכנעים של פישינג ללא מאמץ רב או ידע מוקדם.

עברייני סייבר מנצלים גם את העובדה שהתעבורה של Google Forms מוצפנת באמצעות פרוטוקול TLS - דבר שמקשה על כלי אבטחה לסרוק את התקשורת ולאתר פעילות זדונית. בנוסף, השירות משתמש לעיתים קרובות בכתובות URL דינמיות, מה שמקשה על מסנני דוא"ל מסוימים לזהות טפסים זדוניים.

רוב האיומים שמשתמשים ב-Google Forms נועדו להטעות משתמשים ולגרום להם למסור מידע אישי ופרטי תשלום - אך יש כמה וריאציות שונות בדרכי הפעולה של התוקפים.

תוקפים יוצרים טפסי Google Forms שמתחזים למותגים לגיטימיים - כמו דפי התחברות לאתרים של רשתות חברתיות, בנקים, אוניברסיטאות ואפילו דפי תשלום. כפי שצוין, היתרון מבחינת התוקפים הוא שקל, מהר וזול יותר ליצור טופס כזה מאשר להקים אתר פישינג ייעודי - וגם הסיכוי שהוא ייחסם על ידי מסנני אבטחה נמוך יותר.

בדרך כלל, המשתמש מקבל קישור לטופס הזדוני דרך מייל פישינג, שלעתים אף מתחזה לדוא"ל ממותג או שולח לגיטימי - ואפילו יכול להגיע מחשבון אמיתי שנפרץ. כך או כך, המטרה הסופית לרוב היא:

• לגנוב פרטי התחברות - כדי להשתלט על חשבונות ולבצע הונאות זהות.
• לגנוב פרטי אשראי או בנק/קריפטו - כדי להשתלט על החשבונות ולרוקן אותם או לבצע הונאות תשלום
• לשכנע את המשתמש להקליק על קישור בתוך הטופס, שמפנה לאתר אחר שמתקין באופן סמוי נוזקה על המחשב

התוקפים שולחים טופס Google זדוני שמטרתו לגרום לקורבן להתקשר למספר טלפון שמופיע בו. הטופס לרוב יתחזה להודעה מבנק או מספק שירות אחר שנראה אמין. כדי להלחיץ לפעול במהירות ומבלי לחשוב פעמיים - הם יוצרים תחושת דחיפות, לדוגמה: איום בחסימת החשבון, או במשיכה סכום כסף ממנו אם לא יצרו עמם קשר.

ברגע שיוצרים קשר עם התוקפים, הם מנסים לשכנע למסור פרטים אישיים ו/או פיננסיים. במקרים מסוימים אף יציעו להוריד למחשב תוכנה לגישה מרחוק - מה שיאפשר להם שליטה מלאה על המכשיר.

עברייני סייבר עשויים לנצל את אפשרות יצירת השאלונים ב- Google Formsעל ידי יצירת שאלון והוספת כתובת האימייל אליו. כאשר הם לוחצים על "שחרור ציונים" נוצרת הודעה שהעבריין יכול להתאים אישית - ולכלול בה קישורים לאתרים זדוניים, כמו אתרי פישינג, נוזקות או הונאות.

המודעות היא חצי מהקרב בהתמודדות עם מתקפות הנדסה חברתית כמו אלו שכוללות Google Forms. עכשיו, כשאתם כבר יודעים איך התוקפים פועלים - יהיה להם קשה יותר להטעות אתכם.

לפי חברת אבטחת המידע ESET, כדי להקטין את הסיכון, הנה כמה צעדים חשובים שכדאי לנקוט:

• השתמשו בתוכנת אבטחה רב-שכבתית ממותג מוכר ואמין בכל המחשבים והטלפונים שלכם. גם אם תלחצו בטעות על קישור זדוני - התוכנה תוכל לחסום את הורדת הנוזקה. תוכנת אבטחה טובה גם תזהה דפוסים חשודים, תסרוק את המכשיר מעת לעת ותגן עליו מפני איומים נוספים - גם אם הטופס עצמו נראה לגיטימי.
• שימו לב להונאות פישינג - אל תסמכו על הודעות לא צפויות שדורשות מכם ללחוץ על קישור או להתקשר בדחיפות למספר כלשהו. במקום זאת, קחו נשימה, בדקו בנפרד מול השולח (ולא דרך הקישור או המספר שסופקו). טיפ נוסף: ריחוף עם העכבר מעל הקישור (ללא לחיצה) יראה לכם לאן הוא באמת מפנה.
• חזקו את האבטחה בשלב ההתחברות - השתמשו בסיסמאות חזקות וייחודיות לכל שירות, והשתמשו במנהל סיסמאות כדי לשמור אותן בנוחות. הפעילו אימות דו-שלבי (MFA) בכל חשבון - כך שגם אם מישהו גונב את הסיסמה, הוא לא יוכל להיכנס. הכי מומלץ - שימוש באפליקציית אימות או מפתח אבטחה פיזי.
• שימו לב להודעת האזהרה של גוגל - בכל טופס Google מופיעה אזהרה: "לעולם אל תשלחו סיסמאות דרך Google Forms תקשיבו לעצה הזאת!

החליפו מיד סיסמאות, הריצו סריקת נוזקות במכשיר, ופנו לבנק לביטול כרטיסים אם סיפקתם פרטי תשלום. הפעילו MFA בכל החשבונות (אם עדיין לא עשיתם זאת) ועקבו אחרי פעילות חריגה בחשבונות.

תמיד היו ספקניים לגבי מיילים לא צפויים - גם אם הם נראים כאילו הגיעו ממותג מהימן.