SEOFAQ Telegram, маркетинг и SEO Канал SEOFAQT в мессенджере Telegram

Все чаты​Изощренная фишинговая атака в Google с эксплуатацией...

 186  


​Изощренная фишинговая атака в Google с эксплуатацией уязвимостей инфраструктуры

Недавно я стал целью крайне изощренной фишинговой атаки, и хочу обратить на это внимание, пишет Ник.

Она эксплуатирует уязвимость в инфраструктуре Google, и, учитывая их отказ исправить её, мы, вероятно, будем видеть это всё чаще.

Первое, что стоит отметить — это валидное, подписанное письмо — оно действительно было отправлено с no-reply@google.com.

Оно проходит проверку DKIM-подписи, и Gmail отображает его без каких-либо предупреждений — он даже помещает его в одну переписку с другими легитимными оповещениями безопасности.

Ссылка Sites ведет на очень убедительную страницу "портала поддержки".

Они умно использовали sites.google.com, потому что знали, что люди увидят домен google.com и посчитают его легитимным.

Клик по "Загрузить дополнительные документы" или "Просмотреть обращение" ведет на страницу входа — точную копию настоящей; единственный намек на фишинг в том, что она размещена на sites.google.com вместо accounts.google.com.

Оттуда они собирают ваши учетные данные для компрометации аккаунта.

Так как же им это удалось — особенно валидное письмо?

Это связано с двумя уязвимостями в инфраструктуре Google, которые они отказались исправить.

Поддельный портал сделан довольно просто.

sites.google.com — это устаревший продукт из времен, когда Google еще не так серьезно относился к безопасности; он позволяет пользователям размещать контент на поддомене google.com и поддерживает произвольные скрипты и встраивания.

Это делает создание сайта для сбора учетных данных тривиальным; атакующие просто загружают новые версии по мере блокировки старых.

В интерфейсе Sites нет возможности сообщить о злоупотреблении.

Google осознал, что размещение публичного, заданного пользователями контента на google.com проблематично, но Google Sites по-прежнему существует.

Им необходимо отключить скрипты и произвольные встраивания в Sites, так как это слишком мощный вектор фишинга.

Техника с письмами более изощренная и явно является проблемой безопасности.

Ключевые подсказки в заголовке: хотя письмо подписано accounts.google.com, оно было отправлено через privateemail.com и послано на 'me@blah'.

Ещё одна подсказка: под фишинговым сообщением есть пробелы, за которыми следует "Google Legal Support получил доступ к вашему аккаунту Google" и опять же странный email-адрес me@...

Атакующие:

1. Регистрируют домен и создают аккаунт Google для 'me@domain'

2. Создают OAuth-приложение Google с полным фишинговым сообщением в качестве названия, за которым следуют пробелы и "Google Legal Support"

3. Предоставляют своему OAuth-приложению доступ к их аккаунту Google 'me@...', генерируя легитимное сообщение 'Оповещение безопасности'

4. Пересылают это сообщение жертвам

Поскольку DKIM проверяет только сообщение и заголовки (но не конверт), оно проходит валидацию подписи и выглядит легитимным — даже в одной переписке с реальными оповещениями безопасности.

Имя пользователя 'me@' заставляет Gmail отображать, что сообщение было отправлено на 'me', что является сокращением для вашего собственного email-адреса, избегая еще одного красного флага.

Google отклонил отчет об ошибке как "Работающий как задумано" и не считает это проблемой безопасности.

Пока они не изменят своего мнения, будьте бдительны к обманчивым оповещениям безопасности от Google.

@MikeBlazerX

Ссылки из поста:
https://x.com/nicksdjohnson/status/191243902398283...
https://t.me/MikeBlazerX

Источник новости https://t.me/mikeblazerx/4979...