Oldukça akıllı bir saldırıda, bilgisayar korsanları, Google’ın sistemlerinden teslim edilmiş gibi görünen sahte bir e -posta göndermelerine izin veren bir zayıflıktan yararlandı, ancak oturum açma toplayan hileli bir sayfaya işaret etti.
Saldırgan, alıcıları Google hesap kimlik bilgilerini isteyen meşru görünümlü bir “destek portalına” erişmek için Google’ın altyapısını kullandı.
Hileli mesaj, “no-reply@google.com” dan gelmiş gibi görünüyordu ve DomainKeys Tanımlanan Posta (DKIM) kimlik doğrulama yöntemini geçti, ancak gerçek gönderen farklıydı.
Ethereum Name Service'in (ENS) baş geliştiricisi Nick Johnson, Google'dan görünen bir güvenlik uyarısı aldı ve ona Google Hesap İçeriğini isteyen bir kolluk kuvvetinden bir mahkeme celbi hakkında bilgi verdi.
Hemen hemen her şey meşru görünüyordu ve Google, sahtekarlık belirtilerini nerede arayacağını bilmeyen daha az teknik kullanıcıları kandıracak diğer meşru güvenlik uyarılarıyla bile yerleştirdi.
Ancak, Johnson’ın keskin gözü, e -postadaki sahte destek portalının site.google.com - Google’ın şüphe uyandıran ücretsiz web oluşturma platformunda barındırıldığını tespit etti.
Bir Google alanında olmak, alıcının hedeflendiğini fark etme şansı daha düşüktür.
Johnson, sahte destek portalının “gerçek şeyin kesin bir kopyası” olduğunu ve “Phish'in tek ipucu olduğunu, site.google.com yerine site.google.com'da barındırılması” olduğunu söyledi.
Geliştirici, hileli sitenin amacının, alıcının hesabını tehlikeye atmak için kimlik bilgileri toplamak olduğuna inanmaktadır.
Sahte portalın aldatmacada açıklanması kolaydır, ancak akıllı kısım, Google’ın DKIM tekrar kimlik avı saldırısı olarak adlandırılan DKIM doğrulamasını geçmiş gibi görünen bir mesaj veriyor.
E-posta ayrıntılarına daha yakından bakıldığında, postalanan başlığın Google’ın geri çekilmesinden farklı bir adres gösterdiğini ve alıcının Google tarafından yönetildiği gibi görünen bir alan adında bir me@ adresi olduğunu ortaya koyuyor.
Bununla birlikte, mesaj Google tarafından imzalandı ve teslim edildi.
Johnson ipuçlarını bir araya getirdi ve dolandırıcının numaralarını keşfetti.
Geliştirici, “İlk olarak, bir alan adını kaydettiriyorlar ve bana@alan adı için bir Google hesabı oluşturuyorlar. Alan adı o kadar önemli değil, ancak [sic] bir tür infra gibi görünüyorsa yardımcı oluyor. Kullanıcı adı için 'ben' seçimi zeki” diyor.
Saldırgan daha sonra bir Google OAuth uygulaması oluşturdu ve adını tüm kimlik avı mesajı için kullandı. Bir noktada, mesaj, sona ermiş gibi görünmesi ve Google’ın saldırganın Me@Domain e -posta adresine erişim hakkındaki bildiriminden ayırmak için çok fazla boşluk içeriyordu.
Saldırgan, Google çalışma alanındaki e -posta adreslerine OAuth uygulaması erişimini verdiğinde, Google otomatik olarak bu gelen kutusuna bir güvenlik uyarısı gönderdi.
Johnson, “Google e -postayı oluşturduğundan, geçerli bir DKIM anahtarı ile imzalandı ve tüm çekleri geçiyor” diyor Johnson, son adımın güvenlik uyarısını kurbanlara iletmek olduğunu da sözlerine ekledi.
Google’ın sistemlerindeki zayıflık, DKIM'in zarf olmadan yalnızca mesajı ve başlıkları kontrol etmesidir. Böylece, sahte e -posta imza doğrulamasını geçer ve alıcının gelen kutusunda meşru görünür.
Ayrıca, hileli adres@adını vererek, Gmail mesajı kurbanın e -posta adresine teslim edilmiş gibi gösterecektir.
Bir e -posta kimlik doğrulama şirketi olan EasyDmarc, Johnson'ın tarif ettiği ve her adım için teknik açıklamalar sağladığı DKIM Replay Kimlik Yardım Saldırısı'nı detaylandırdı.
Benzer bir numara Google'dan diğer platformlarda da denenmiştir. Mart ayında, PayPal kullanıcılarını hedefleyen bir kampanya, hileli mesajların finansal şirketin posta sunucularından kaynaklandığı ve DKIM güvenlik kontrollerinden geçtiği aynı yönteme güveniyordu.
BleepingComputer’ın testleri, saldırganın yeni bir e -postayı PayPal hesaplarına bağlamak için “hediye adresi” seçeneğini kullandığını ortaya koydu.
Yeni bir adres eklerken iki alan var ve saldırgan bir e -posta ile doldurdu ve kimlik avı mesajını ikincisine yapıştırdı.
PayPal, saldırganın adresine otomatik olarak bir onay gönderir ve bu da onu gruptaki tüm potansiyel kurbanlara aktaran bir posta listesine iletir.
BleepingComputer bu konu hakkında PayPal'a ulaştı, ancak asla bir yanıt almadı.
Johnson ayrıca Google'a bir hata raporu sundu ve şirketin ilk yanıtı sürecin amaçlandığı gibi çalışmasıydı.
Bununla birlikte, Google daha sonra sorunu yeniden değerlendirerek kullanıcıları için bir risk olarak kabul etti ve şu anda OAuth zayıflığını düzeltmek için çalışıyor.
Google, yapay zeka destekli dolandırıcılıklarda artış ortasında 2024'te 5 milyardan fazla reklamı engelledi
E-ZPASS Ücretli Ödeme Metinleri Büyük Kimlik Yardım Dalgasında Dönüş
Polis, Afrika siber suç halkalarına bağlı 300 şüpheliyi tutukladı
Google, Android AI aldatmaca algılamasını daha fazla piksel cihaza genişletiyor
Google Gemini AI, Chatgpt benzeri planlanmış eylemler özelliği alıyor
Kaynak: Bleeping Computer