Изощренная фишинговая атака в Google с эксплуатацией...
186
Изощренная фишинговая атака в Google с эксплуатацией уязвимостей инфраструктуры
Недавно я стал целью крайне изощренной фишинговой атаки, и хочу обратить на это внимание, пишет Ник.
Она эксплуатирует уязвимость в инфраструктуре Google, и, учитывая их отказ исправить её, мы, вероятно, будем видеть это всё чаще.
Первое, что стоит отметить — это валидное, подписанное письмо — оно действительно было отправлено с no-reply@google.com.
Оно проходит проверку DKIM-подписи, и Gmail отображает его без каких-либо предупреждений — он даже помещает его в одну переписку с другими легитимными оповещениями безопасности.
Ссылка Sites ведет на очень убедительную страницу "портала поддержки".
Они умно использовали sites.google.com, потому что знали, что люди увидят домен google.com и посчитают его легитимным.
Клик по "Загрузить дополнительные документы" или "Просмотреть обращение" ведет на страницу входа — точную копию настоящей; единственный намек на фишинг в том, что она размещена на sites.google.com вместо accounts.google.com.
Оттуда они собирают ваши учетные данные для компрометации аккаунта.
Так как же им это удалось — особенно валидное письмо?
Это связано с двумя уязвимостями в инфраструктуре Google, которые они отказались исправить.
Поддельный портал сделан довольно просто.
sites.google.com — это устаревший продукт из времен, когда Google еще не так серьезно относился к безопасности; он позволяет пользователям размещать контент на поддомене google.com и поддерживает произвольные скрипты и встраивания.
Это делает создание сайта для сбора учетных данных тривиальным; атакующие просто загружают новые версии по мере блокировки старых.
В интерфейсе Sites нет возможности сообщить о злоупотреблении.
Google осознал, что размещение публичного, заданного пользователями контента на google.com проблематично, но Google Sites по-прежнему существует.
Им необходимо отключить скрипты и произвольные встраивания в Sites, так как это слишком мощный вектор фишинга.
Техника с письмами более изощренная и явно является проблемой безопасности.
Ключевые подсказки в заголовке: хотя письмо подписано accounts.google.com, оно было отправлено через privateemail.com и послано на 'me@blah'.
Ещё одна подсказка: под фишинговым сообщением есть пробелы, за которыми следует "Google Legal Support получил доступ к вашему аккаунту Google" и опять же странный email-адрес me@...
Атакующие:
1. Регистрируют домен и создают аккаунт Google для 'me@domain'
2. Создают OAuth-приложение Google с полным фишинговым сообщением в качестве названия, за которым следуют пробелы и "Google Legal Support"
3. Предоставляют своему OAuth-приложению доступ к их аккаунту Google 'me@...', генерируя легитимное сообщение 'Оповещение безопасности'
4. Пересылают это сообщение жертвам
Поскольку DKIM проверяет только сообщение и заголовки (но не конверт), оно проходит валидацию подписи и выглядит легитимным — даже в одной переписке с реальными оповещениями безопасности.
Имя пользователя 'me@' заставляет Gmail отображать, что сообщение было отправлено на 'me', что является сокращением для вашего собственного email-адреса, избегая еще одного красного флага.
Google отклонил отчет об ошибке как "Работающий как задумано" и не считает это проблемой безопасности.
Пока они не изменят своего мнения, будьте бдительны к обманчивым оповещениям безопасности от Google.
@MikeBlazerX

– https://x.com/nicksdjohnson/status/191243902398283...
– https://t.me/MikeBlazerX
Источник новости https://t.me/mikeblazerx/4979...

