Google выпустил критическое предупреждение всем пользователям Gmail после обнаружения очень сложной фишинговой кампании, которая использует собственные системы Google, чтобы заставить пользователей вручить учетные данные. Этот инцидент подчеркивает тревожный сдвиг в киберпреступной тактике, используя законные электронные письма и надежную инфраструктуру для обхода традиционных проверок безопасности.
Мошенничество появилось, когда Ник Джонсон, разработчик программного обеспечения и выдающийся пользователь в X (ранее Twitter), поделился подробностями о фишинговом письме, которое он получил 15 апреля. Сообщение, отправленное из того, что казалось законным адресом[email protected]даже проходили строгие проверки аутентификации Google, включая DKIM (доменные домены идентифицировали почту). Это предоставило электронное письмо с подлинностью, убедив Джонсона и потенциально других, что это было подлинное общение от Google.
В электронном письме ложно утверждалось, что повестка была выпущена для данных учетной записи Johnson’s Google и направило его на портал поддержки для ответа. Ссылка привела к странице, размещенной на sites.google.com, законной субдомене Google, которая имитировала страницу входа Google. На самом деле сайт был умно разработанной фишинговой страницей, созданной для сбора учетных данных пользователей.
Эта атака удалось избежать обнаружения, используя две ключевые уязвимости в инфраструктуре Google:
- Возможность размещать вредоносный контент на sites.google.com, домене, принадлежащем Google.
- Использование официального адреса отправителя, который прошел проверки аутентификации, позволяя фишинговому сообщению появиться в той же ветке разговора, что и подлинные оповещения о безопасности Google.
С тех пор Джонсон сообщил об этой проблеме Google, который признал кампанию и подтвердил, что она включает в себя новое использование механизмов как OAuth, так и DKIM. Компания в настоящее время «выпускает защиту», чтобы противостоять угрозе, и скоро будет полное исправление.
Как пользователи Gmail могут оставаться в безопасности?
Пользователям Gmail настоятельно рекомендуется проявлять осторожность. Избегайте ссылок в нежелательных электронных письмах, даже если они, похоже, приходят из надежных источников, таких как Google. Вместо этого пользователи должны получить доступ к своим учетным записям напрямую через официальный сайт. Активация двухфакторной аутентификации (2FA) и пассажиров также может предоставить дополнительные гарантии от кражи полномочий.
