Într-un atac destul de inteligent, hackerii au folosit o vulnerabilitate care le-a permis să trimită un e-mail fals care părea livrat de sistemele Google, trecând toate verificările, dar indicând către o pagină frauduloasă care colecta logările.
Atacatorul a folosit infrastructura Google pentru a păcăli destinatarii să acceseze un „portal de suport” legitim aparent care solicita datele de autentificare ale contului Google.
Mesajul fraudulos părea să vină de la „[email protected]” și a trecut de metoda de autentificare a poștei DomainKeys Identified Mail (DKIM), dar expeditorul real era diferit.
Nick Johnson, dezvoltatorul principal al Ethereum Name Service (ENS), a primit o alertă de securitate care părea să fie de la Google, informându-l despre o citație de la o autoritate de aplicare a legii care solicita conținutul contului său Google.
Cam totul părea legitim, iar Google l-a plasat chiar cu alte alerte de securitate legitime, ceea ce ar putea păcăli utilizatorii mai puțin tehnici care nu știu unde să caute semnele de fraudă.
Cu toate acestea, ochiul vigilent al lui Johnson a observat că portalul de suport fals din e-mail era găzduit pe sites.google.com – platforma gratuită de construire a site-urilor Google, ceea ce a ridicat suspiciuni.
Fiind pe un domeniu Google, șansele ca destinatarul să-și dea seama că este țintit sunt mai mici.
Johnson spune că portalul de suport fals era „o duplicare exactă a lucrurilor reale” și „unicul indiciu că este un pescuit este că este găzduit pe sites.google.com în loc de accounts.google.com.”
Dezvoltatorul crede că scopul site-ului fraudulos era de a colecta datele de autentificare pentru a compromite contul destinatarului.
Portalul fals este ușor de explicat în escrocherie, dar partea inteligentă constă în livrarea unui mesaj care pare să fi trecut de verificarea DKIM a Google în ceea ce se numește un atac de pescuit cu retransmitere DKIM.
O analiză mai atentă a detaliilor e-mailului arată că antetul mailed-by arată o adresă diferită decât no-reply-ul Google și destinatarul este ună adresă me@ la un domeniu creat pentru a părea că este gestionat de Google.
Cu toate acestea, mesajul a fost semnat și livrat de Google.
Johnson a pus cap la cap indiciile și a descoperit trucurile escrocului.
„Mai întâi, ei înregistrează un domeniu și creează un cont Google pentru me@domeniu’. Domeniul nu este atât de important, dar ajută dacă arată ca o infrastructură. Alegerea „me” pentru numele de utilizator este inteligentă,” explică dezvoltatorul.
Atacatorul a creat apoi o aplicație Google OAuth și a folosit pentru numele său întregul mesaj de phishing. La un moment dat, mesajul conținea multe spații albe pentru a părea că s-a încheiat și pentru a-l separa de notificarea Google despre accesul la adresa de e-mail me@domeniu al atacatorului.
Când atacatorul a acordat aplicației lor OAuth acces la adresa lor de e-mail în Google Workspace, Google a trimis automat o alertă de securitate la acea cutie poștală.
„Deoarece Google a generat e-mailul, acesta este semnat cu o cheie DKIM validă și trece toate verificările,” spune Johnson, adăugând că ultimul pas a fost să trimită alerta de securitate victimelor.
Vulnerabilitatea în sistemele Google este că verificările DKIM verifică doar mesajul și antetele, fără plic. Astfel, e-mailul fals trece de validarea semnăturii și apare legitim în inboxul destinatarului.
Mai mult, prin numirea adresei frauduloase me@, Gmail va arăta mesajul ca și cum ar fi fost livrat la adresa de e-mail a victimei.
EasyDMARC, o companie de autentificare a e-mailurilor, a detaliat și ea atacul de pescuit cu retransmitere DKIM pe care Johnson l-a descris și a oferit explicații tehnice pentru fiecare pas.
Un truc similar a fost încercat și pe alte platforme decât Google. În martie, o campanie care viza utilizatorii PayPal s-a bazat pe aceeași metodă, în care mesajele frauduloase proveneau de la serverele de poștă ale companiei financiare și treceau de verificările de securitate DKIM.
Testele BleepingComputer au arătat că atacatorul a folosit opțiunea „adresă cadou” pentru a lega un nou e-mail de contul său PayPal.
Când se adaugă o adresă nouă, există două câmpuri și atacatorul a completat unul cu un e-mail și a lipit mesajul de phishing în al doilea.
PayPal trimite automat o confirmare la adresa atacatorului, care o transmite unei liste de corespondență care o retransmite tuturor victimelor potențiale din grup.
BleepingComputer a contactat PayPal cu privire la această problemă, dar nu a primit niciodată un răspuns.
Johnson a trimis și un raport de buguri către Google și răspunsul inițial al companiei a fost că procesul funcționează conform intenției.
Cu toate acestea, Google a reconsiderat ulterior problema, recunoscând-o ca pe un risc pentru utilizatorii săi, și lucrează în prezent pentru a remedia vulnerabilitatea OAuth.
Google a blocat peste 5 miliarde de reclame în 2024 în mijlocul creșterii escrocheriilor alimentate de IA
Mesajele de plată a taxei E-ZPass revin într-un val masiv de phishing
Poliția a arestat 300 de suspecți legați de rețelele de criminalitate cibernetică africane
Google extinde detectarea de escrocherii AI Android către mai multe dispozitive Pixel
Google Gemini AI primește funcția de acțiuni programate asemănătoare cu ChatGPT
Leave a Reply