Мошенники используют Google Sites и OAuth, чтобы похищать данные — письмо проходит все проверки безопасности
Создатель Ethereum Name Service Ник Джонсон предупредил пользователей X о новой волне сложных фишинг-атак, в которых злоумышленники маскируются под Google.
Главная опасность — такие письма проходят DKIM-подпись и отображаются Gmail как легитимные. Более того, они попадают в ту же цепочку сообщений, что и настоящие уведомления от службы безопасности.
Как работает фейковая «повестка от полиции»
В письме говорится, что данные пользователя запрошены правоохранительными органами в рамках повестки. В теле сообщения содержится ссылка для «ознакомления с материалами дела» или «подачи протеста».
Переход ведет на поддомен Google Sites, созданный при помощи Google-аккаунта мошенников. Дальше — подмена страницы поддержки и сбор логинов и паролей.
«Я не стал идти дальше, но уверен, что там собирают ваши учетные данные», — заявил Джонсон.
Он также отметил, что письмо визуально выглядит достоверно, но при этом пересылается с личного почтового ящика — что уже должно вызывать подозрение.
На этом фоне: пользователи Android тоже под угрозой — вредоносное ПО крадет доступы к кошелькам прямо через экран
Как злоумышленники обходят защиту Google
По данным компании EasyDMARC, атака работает за счет нескольких уязвимостей в инфраструктуре Google.
- Во-первых, любой пользователь может создать сайт через Google Sites, который будет размещен на доверенном поддомене.
- Во-вторых, при создании OAuth-приложения можно свободно указывать любое имя и адрес отправителя. Это позволяет использовать формат [email protected], создавая ощущение официальности.
Самый критичный момент — то, что система DKIM проверяет только заголовки и тело сообщения, но не «конверт». В результате письмо успешно проходит все фильтры и отображается как настоящее.
Ранее писали: данные клиентов Ledger, Gemini и Robinhood уже оказались в даркнете — мошенники выстраивают все более изощренные схемы
Google начал закрывать уязвимость
В комментарии Cointelegraph представитель Google подтвердил проблему. Сейчас компания отключает механизм, позволяющий вставлять текст произвольной длины, что закроет возможность такой атаки в будущем.
«Мы знаем об этой атаке от группы Rockfoils и уже начали выкатывать защиту. В ближайшие дни она будет развернута полностью», — уточнил представитель компании.
Пока обновления не вступили в силу, пользователям рекомендуют включить двухфакторную аутентификацию и использовать passkey. Это поможет защититься даже в случае успешной подделки письма.
Ранее на Coinspot разбирали, как распознать фишинг и не стать жертвой скама — советы от аналитика ZachXBT
Компания также напомнила: Google никогда не запрашивает личные данные — ни пароли, ни OTP-коды, ни push-уведомления. И тем более не звонит пользователям.
Источник: coinspot.io
Обсуждение: post