Pojawiła się nowa kampania phishingowa wykorzystująca fałszywe e-maile wysyłane z podrobionego adresu Google. Złośliwa kampania jest tak starannie zaprojektowana, że eksperci ds. bezpieczeństwa obawiają się, że użytkownicy sieci mogą zostać oszukani przez e-mail podszywający się pod oficjalny komunikat Google. Atak polega na tym, że cyberprzestępcy wysyłają nieuczciwe wiadomości e-mail, które wydają się pochodzić z oficjalnego adresu Google (np. no-reply[@]google[.]com). Treść wiadomości e-mail zawiera pozornie oficjalne wezwanie do sądu z żądaniem pilnego udostępnienia informacji dotyczących konta Google odbiorcy.
Podpisane, opieczętowane, dostarczone przez Google
Niebezpieczeństwa związane z tą nową kampanią wynikają z wyrafinowania oszustwa. Cyberprzestępcy opracowali sposób na podszywanie się pod adres Google, omijanie mechanizmów bezpieczeństwa poczty e-mail i sprawianie wrażenia, że wiadomości zostały podpisane i dostarczone przez Google. W pewnym sensie rzeczywiście mogło to tak wyglądać.
Według Nicka Johnsona, głównego programisty Ethereum Name Service (ENS), który padł ofiarą oszustwa, Google umieściło niebezpiecznego e-maila wraz z innymi alertami bezpieczeństwa.
Według doniesień atakujący zastosowali atak phishingowy DKIM replay, używając wygenerowanego przez Google e-maila bez zmiany jego podpisu DomainKeys Identified Mail (DKIM). Następnie przekazali nieuczciwego e-maila, zachowując nienaruszone elementy podpisu, czyniąc e-mail odpornym na mechanizmy weryfikacji DKIM, więc wygląda na autentyczny.
Wgląd w fałszywe wiadomości e-mail
Treść wiadomości e-mail zawierała pilne wezwanie organów ścigania z prośbą o podanie „zawartości konta Google” odbiorcy, numeru referencyjnego i numeru identyfikacyjnego konta Google.
Te elementy, w połączeniu z faktem, że w wiadomości e-mail brakowało błędów gramatycznych i innych oczywistych oznak oszustwa, sprawiają, że ta nowa kampania jest bardzo ryzykowna, zwłaszcza dla niewprawnego oka.
W nieuczciwych e-mailach znajdowała się subtelna wskazówka
W e-mailu znajdowała się również sekcja „Sprawa pomocy technicznej Google”, w której osoba atakująca dodała link. Link wydawał się również autentyczny, ponieważ był hostowany w domenie Google.
Po kliknięciu linku odbiorca zostanie przekierowany do fałszywego portalu pomocy technicznej, rzekomo będącego niemal dokładną kopią prawdziwej usługi.
Jednak fakt, że atakujący użył linku sites-google[.]com, wzbudził podejrzenia, ponieważ oficjalne linki Google nie korzystają z bezpłatnej platformy do tworzenia stron internetowych, zwłaszcza w przypadku pilnych powiadomień.
Fałszywy portal wsparcia najprawdopodobniej jest wyrafinowaną stroną phishingową, ponieważ wymaga od odwiedzających podania nazwy użytkownika i hasła.
Odpowiedź i łagodzenie skutków przez Google
Po odkryciu złośliwej kampanii Johnson przesłał raport o błędzie do Google. Firma początkowo odpowiedziała, że proces działa zgodnie z przeznaczeniem i odmówiła podjęcia działań.
Google ponownie przeanalizowało swoje stanowisko, uznając lukę w protokole OAuth za zagrożenie dla użytkownika i podejmując kroki mające na celu usunięcie tej luki.
Ochrona przed oszustwami typu phishing i innymi włamaniami
„Specjalistyczne oprogramowanie antywirusowe, które zostało wyposażone w moduł antyphishingowy może dać Ci przewagę nad cyberprzestępcami, którzy wykorzystują wszelkie możliwe sposoby, aby naruszyć Twoje bezpieczeństwo. Dzięki niemu zostaniesz wcześniej ostrzeżony o potencjalnym zagrożeniu”
– mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
