Oszuści podszywają się pod Google

Przeczytaj także: Phishing: cyberprzestępcy wabią na znane domeny

Fałszywa wiadomość jest wysyłana z oficjalnego adresu Google (np. no-reply[@]google[.]com). Treść wiadomości e-mail zawiera pozornie oficjalne wezwanie do sądu z żądaniem pilnego udostępnienia informacji dotyczących konta Google odbiorcy.

Podpisane, opieczętowane, dostarczone przez Google

Niebezpieczeństwa związane z tą nową kampanią wynikają z wyrafinowania oszustwa. Cyberprzestępcy opracowali sposób na podszywanie się pod adres Google, omijanie mechanizmów bezpieczeństwa poczty e-mail i sprawianie wrażenia, że ​​wiadomości zostały podpisane i dostarczone przez Google. W pewnym sensie rzeczywiście mogło to tak wyglądać.

Według Nicka Johnsona, głównego programisty Ethereum Name Service (ENS), który padł ofiarą oszustwa, Google umieściło niebezpiecznego e-maila wraz z innymi alertami bezpieczeństwa.

Według doniesień atakujący zastosowali atak phishingowy DKIM replay, używając wygenerowanego przez Google e-maila bez zmiany jego podpisu DomainKeys Identified Mail (DKIM). Następnie przekazali nieuczciwego e-maila, zachowując nienaruszone elementy podpisu, czyniąc e-mail odpornym na mechanizmy weryfikacji DKIM, więc wygląda na autentyczny.

Wgląd w fałszywe wiadomości e-mail

Treść wiadomości e-mail zawierała pilne wezwanie organów ścigania z prośbą o podanie „zawartości konta Google” odbiorcy, numeru referencyjnego i numeru identyfikacyjnego konta Google.

Te elementy, w połączeniu z faktem, że w wiadomości e-mail brakowało błędów gramatycznych i innych oczywistych oznak oszustwa, sprawiają, że ta nowa kampania jest bardzo ryzykowna, zwłaszcza dla niewprawnego oka.

W nieuczciwych e-mailach znajdowała się subtelna wskazówka

W e-mailu znajdowała się również sekcja „Sprawa pomocy technicznej Google”, w której osoba atakująca dodała link. Link wydawał się również autentyczny, ponieważ był hostowany w domenie Google.

Po kliknięciu linku odbiorca zostanie przekierowany do fałszywego portalu pomocy technicznej, rzekomo będącego niemal dokładną kopią prawdziwej usługi.

Jednak fakt, że atakujący użył linku sites-google[.]com, wzbudził podejrzenia, ponieważ oficjalne linki Google nie korzystają z bezpłatnej platformy do tworzenia stron internetowych, zwłaszcza w przypadku pilnych powiadomień.

Fałszywy portal wsparcia najprawdopodobniej jest wyrafinowaną stroną phishingową, ponieważ wymaga od odwiedzających podania nazwy użytkownika i hasła.

Odpowiedź i łagodzenie skutków przez Google

Po odkryciu złośliwej kampanii Johnson przesłał raport o błędzie do Google. Firma początkowo odpowiedziała, że ​​proces działa zgodnie z przeznaczeniem i odmówiła podjęcia działań.

Google ponownie przeanalizowało swoje stanowisko, uznając lukę w protokole OAuth za zagrożenie dla użytkownika i podejmując kroki mające na celu usunięcie tej luki.

Ochrona przed oszustwami typu phishing i innymi włamaniami

Specjalistyczne oprogramowanie antywirusowe, które zostało wyposażone w moduł antyphishingowy może dać Ci przewagę nad cyberprzestępcami, którzy wykorzystują wszelkie możliwe sposoby, aby naruszyć Twoje bezpieczeństwo. Dzięki niemu zostaniesz wcześniej ostrzeżony o potencjalnym zagrożeniu – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Źródło: https://bitdefender.pl/oszusci-podszywaja-sie-pod-google/