Мошенники используют Google Sites и OAuth, чтобы похищать данные — письмо проходит все проверки безопасности
Создатель Ethereum Name Service Ник Джонсон предупредил пользователей X о новой волне сложных фишинг-атак, в которых злоумышленники маскируются под Google.
Главная опасность — такие письма проходят DKIM-подпись и отображаются Gmail как легитимные. Более того, они попадают в ту же цепочку сообщений, что и настоящие уведомления от службы безопасности.
Как работает фейковая «повестка от полиции»
В письме говорится, что данные пользователя запрошены правоохранительными органами в рамках повестки. В теле сообщения содержится ссылка для «ознакомления с материалами дела» или «подачи протеста».
Переход ведет на поддомен Google Sites, созданный при помощи Google-аккаунта мошенников. Дальше — подмена страницы поддержки и сбор логинов и паролей.
«Я не стал идти дальше, но уверен, что там собирают ваши учетные данные», — заявил Джонсон.
Он также отметил, что письмо визуально выглядит достоверно, но при этом пересылается с личного почтового ящика — что уже должно вызывать подозрение.
На этом фоне: пользователи Android тоже под угрозой — вредоносное ПО крадет доступы к кошелькам прямо через экран
Как злоумышленники обходят защиту Google
По данным компании EasyDMARC, атака работает за счет нескольких уязвимостей в инфраструктуре Google.
- Во-первых, любой пользователь может создать сайт через Google Sites, который будет размещен на доверенном поддомене.
- Во-вторых, при создании OAuth-приложения можно свободно указывать любое имя и адрес отправителя. Это позволяет использовать формат [email protected], создавая ощущение официальности.
Самый критичный момент — то, что система DKIM проверяет только заголовки и тело сообщения, но не «конверт». В результате письмо успешно проходит все фильтры и отображается как настоящее.
