Фішинг уже багато років являє собою небезпечну гру: щойно технологічні компанії блокують одну схему, на її місці з'являється нова. Однак зараз в обіг пішов новий фішинговий лист, який якимось чином успішно проходить перевірку Google і Gmail.
Про це повідомляє РБК-Україна (проект Styler) з посиланням на видання Android Authority, що спеціалізується на новинах про Android і технологіях.
Подробиці фішингу в Gmail
Розробник Нік Джонсон повідомив у Х (Twitter), що став жертвою складної фішингової атаки, яка виглядала так, ніби прийшла від Google. За його словами, лист було надіслано з адреси no-reply@accounts.google.com і справді було підписано як accounts.google.com. Ба більше, Gmail не показав жодних попереджень.
У листі містилося посилання на сторінку в sites.google.com, яка насправді виявлялася підробленою сторінкою підтримки. Варто зазначити, що Google Sites - це офіційний сервіс Google, що дає змогу створювати сайти. Ймовірно, зловмисники обрали саме цю платформу, щоб обдурити користувачів, створюючи враження, ніби вони перебувають на офіційній сторінці Google.
При натисканні на кнопки "Переглянути запит" або "Завантажити додаткові документи" користувач потрапляв на підроблену сторінку входу, також розміщену на sites.google.com.
За словами Джонсона, ця фішингова атака стала можливою через дві вразливості, які Google спочатку відмовився усувати. По-перше, він запропонував компанії відключити скрипти і довільні впровадження на сторінках Google Sites. По-друге, його стурбувало, що лист було підписано як accounts.google.com.
Однак, якщо уважно подивитися на поле "mailed-by", видно, що він прийшов із домену privateemail.com.
Виявилося, що зловмисники зареєстрували власний домен і створили Google-акаунт, пов'язаний із цим доменом. Далі вони створили OAuth-додаток Google і як ім'я додатка вказали текст самого фішингового листа. Після цього вони дали своєму Google-акаунту доступ до створеного застосунку, внаслідок чого від імені Google було надіслано лист безпеки. Потім це повідомлення пересилали жертвам.
Джонсон повідомив про вразливість, але Google спочатку закрив звіт, заявивши, що така поведінка є штатною. Однак пізніше компанія змінила своє рішення і погодилася усунути проблему з аутентифікацією.
Так чи інакше, це вкрай правдоподібна фішингова атака, і користувачам варто бути особливо уважними.
Варто зазначити, що раніше вже повідомлялося про схожу схему: тоді користувачам розсилали фальшиві листи відновлення безпеки, надіслані нібито від імені Google, а також надходили дзвінки з підробленими номерами підтримки Google.
Інформує ria-m.tv