Експертите по информационна безопасност алармират за засилена фишинг дейност, при която се използва услугата Google Accelerated Mobile Pages (AMP), за да се заобиколи защитата на електронната поща и да се получи достъп до електронните пощи на служителите в различните организации.

Google Accelerated Mobile Pages (AMP) е HTML фреймуърк, разработен и популяризиран от Google, съвместно с още 30 партньорски компании.

AMP страниците се обслужват от сървърите на Google, въпреки че изглеждат така, сякаш идват от оригиналните сайтове. Google твърди, че целта на проекта AMP е да подобри потребителското изживяване, както и производителността на сайта чрез комбинация от предварително зареждане, обслужване на страници от собствените по-бързи сървъри на Google и премахване на някои остарели функции.

Използването на URL адреси на Google AMP, вградени във фишинг имейли, дава възможност на хакерите да се уверят, че технологиите за защита на имейли не отбелязват тези имейли като злонамерени или подозрителни (поради добрата репутация на Google). В действителност AMP URL адресите са отговорни за пренасочването към злонамерен фишинг сайт, а допълнителната стъпка при използването на AMP им позволява да предотвратят анализа и откриването.

Според специалистите на Cofense броят на AMP фишинг атаките значително се е увеличил в средата на юли тази година.
"От проучените от нас URL адреси на Google AMP приблизително 77% бяха хоствани в домейна google.com, а 23% - в домейна google.co.uk", посочват изследователите.

Отбелязва се, че макар пътят google.com/amp/s/ да е общ за всички случаи, блокирането му би засегнало и всички легитимни случаи на използване на Google AMP и това няма как да бъде добра идея.

Cofense съобщава също, че хакерите, злоупотребяващи с възможностите на Google AMP, използват редица други тактики, за да избегнат разкриването и да увеличат вероятността за успешни атаки. Така например в редица случаи нападателите са използвали HTML имейли и изображения, за да объркат скенерите, които обикновено търсят фишинг в тялото на съобщението.
В друг пример нападателите са създали една доста сложна, но ефективна система: те са използвали допълнително пренасочване и URL адреса на Microsoft.com, за да пренасочат жертвата към домейна Google AMP и едва след това към действителния фишинг сайт.

Хакерите са използвали и услугата CAPTCHA на Cloudflare, за да попречат на ботовете автоматично да анализират фишинг страниците, като по този начин много ефективно са попречили на скенерите да достигнат до тях и да ги разкрият.
По принцип този тип фишинг атаки се появиха през месец май тази година, като към 29-ти май и особено към 10-ти юни започнаха промени в тактиката, след които започна използването на Google.co.uk в URL адресите на Google AMP. Тактиката остава същата, но URL адресът се хоства в домейна от първо ниво на Google в Обединеното кралство.