Dalam serangan yang agak pintar, peretas memanfaatkan kelemahan yang memungkinkan mereka mengirim email palsu yang tampaknya dikirim dari sistem Google, melewati semua verifikasi tetapi menunjuk ke halaman curang yang mengumpulkan login.
Penyerang memanfaatkan infrastruktur Google untuk menipu penerima agar mengakses “portal dukungan” yang tampak sah yang meminta kredensial akun Google.
Pesan penipuan itu muncul dari “no-reply@google.com”Dan lulus metode otentikasi DomainKeys yang diidentifikasi (DKIM) tetapi pengirim yang sebenarnya berbeda.
Email palsu dengan stempel DKIM Google
Nick Johnsonpengembang utama Ethereum Name Service (ENS), menerima peringatan keamanan yang tampaknya berasal dari Google, memberi tahu dia tentang panggilan pengadilan dari otoritas penegak hukum yang meminta konten akun Google -nya.
Hampir semuanya tampak sah dan Google bahkan menempatkannya dengan peringatan keamanan yang sah lainnya, yang kemungkinan akan menipu lebih sedikit pengguna teknis yang tidak tahu di mana mencari tanda -tanda penipuan.
Sumber: Nick Johnson
Namun, Eye Johnson yang tajam melihat bahwa portal dukungan palsu dalam email di -host di situs.google.com – platform pembangunan web gratis Google, yang menimbulkan kecurigaan.
Berada di domain Google, peluang penerima untuk menyadari bahwa mereka ditargetkan lebih rendah.
Johnson mengatakan portal dukungan palsu adalah “duplikat yang tepat dari hal yang nyata” dan “satu -satunya petunjuk itu adalah phish adalah bahwa ia di -host site.google.com alih-alih Accounts.google.com.“
Sumber: Nick Johnson
Pengembang percaya bahwa tujuan dari situs penipuan adalah untuk mengumpulkan kredensial untuk mengkompromikan akun penerima.
Portal palsu mudah dijelaskan dalam penipuan tetapi bagian yang cerdas mengirimkan pesan yang tampaknya telah lulus verifikasi DKIM Google dalam apa yang disebut serangan phishing DKIM Replay.
Melihat lebih dekat pada detail email mengungkapkan bahwa dikirim-by Header menunjukkan alamat yang berbeda dari Google No-Reply dan penerima adalah a Saya@ Alamat di domain yang dibuat agar terlihat seperti dikelola oleh Google.
Namun demikian, pesan itu ditandatangani dan dikirim oleh Google.
Sumber: Nick Johnson
Johnson menyatukan petunjuk dan menemukan trik penipu.
“Pertama, mereka mendaftarkan domain dan membuat akun google untuk saya@domain ‘. Domainnya tidak begitu penting tetapi membantu jika [sic] Sepertinya semacam infra. Pilihan ‘saya’ untuk nama pengguna itu pintar, ”pengembang menjelaskan.
Penyerang kemudian membuat aplikasi Google OAuth dan digunakan untuk namanya seluruh pesan phishing. Pada satu titik, pesan tersebut berisi banyak spasi putih agar terlihat seperti berakhir dan memisahkannya dari pemberitahuan Google tentang memiliki akses ke penyerang saya@domain alamat email.
Ketika penyerang memberikan akses aplikasi OAuth mereka ke alamat email mereka di Google Workspace, Google secara otomatis mengirim peringatan keamanan ke kotak masuk itu.
“Karena Google membuat email, itu ditandatangani dengan kunci DKIM yang valid dan melewati semua cek,” kata Johnson, menambahkan bahwa langkah terakhir adalah meneruskan peringatan keamanan kepada para korban.
Kelemahan dalam sistem Google adalah bahwa DKIM hanya memeriksa pesan dan header, tanpa amplop. Dengan demikian, email palsu melewati validasi tanda tangan dan tampak sah di kotak masuk penerima.
Selanjutnya, dengan menamai alamat penipuan Saya@, Gmail akan menampilkan pesan seolah -olah dikirim ke alamat email korban.
EasyDMarc, perusahaan otentikasi email, juga merinci Serangan phishing replay dkim Johnson menggambarkan dan memberikan penjelasan teknis untuk setiap langkah.
Opsi paypal disalahgunakan dengan cara yang sama
Trik serupa telah dicoba di platform lain selain Google. Pada bulan Maret, a Kampanye Menargetkan Pengguna PayPal Mengandalkan metode yang sama, di mana pesan penipuan berasal dari server surat perusahaan keuangan dan lulus cek keamanan DKIM.
Tes BleepingComputer mengungkapkan bahwa penyerang menggunakan opsi “Alamat Hadiah” untuk menautkan email baru ke akun PayPal mereka.
Ada dua bidang saat menambahkan alamat baru dan penyerang mengisi satu dengan email dan menempelkan pesan phishing ke yang kedua.
PayPal secara otomatis mengirimkan konfirmasi ke alamat penyerang, yang meneruskannya ke milis yang menyerahkannya ke semua korban potensial dalam grup.
Sumber: BleepingComputer
BleepingComputer menjangkau PayPal tentang masalah ini tetapi tidak pernah menerima tanggapan.
Johnson juga mengirimkan laporan bug ke Google dan balasan awal perusahaan adalah bahwa prosesnya berfungsi sebagaimana dimaksud.
Namun, Google kemudian mempertimbangkan kembali masalah ini, mengenalinya sebagai risiko bagi penggunanya, dan saat ini bekerja untuk memperbaiki kelemahan OAuth.
