Wyrafinowane kampanie phishingowe coraz częściej wykorzystują infrastrukturę zaufanych gigantów technologicznych do oszukiwania użytkowników, a posiadacze kryptowalut są głównym celem. Zidentyfikowano znaczącą lukę bezpieczeństwa w ekosystemie Google, która umożliwia cyberprzestępcom tworzenie wysoce przekonujących ataków, wykorzystujących zaufanie użytkowników do marki Google.
Wykorzystywanie Infrastruktury Google do Phishingu
Krytyczna luka umożliwia złośliwym podmiotom wykorzystywanie własnych systemów Google, a konkretnie Gmaila i Google Sites, do przeprowadzania zwodniczych schematów phishingowych. Nick Johnson, główny programista Ethereum Name Service (ENS), zwrócił uwagę na ten problem, szczegółowo opisując, jak oszuści mogą wysyłać e-maile, które wyglądają jak uzasadnione alerty bezpieczeństwa pochodzące bezpośrednio od Google.
Te fałszywe e-maile, często ostrzegające użytkowników o rzekomych wezwaniach sądowych żądających informacji o ich kontach, wyglądają niezwykle autentycznie. Johnson podkreślił kluczową obawę: „Przede wszystkim należy zauważyć, że jest to ważny, podpisany e-mail – naprawdę został wysłany z [email protected]”. Ponieważ e-maile przechodzą standardowe kontrole bezpieczeństwa, takie jak podpisy DKIM, programy pocztowe, takie jak Gmail, wyświetlają je bez ostrzeżeń, czasami nawet grupując je z prawdziwymi powiadomieniami o bezpieczeństwie.
E-maile zachęcają odbiorców do kliknięcia linku, rzekomo w celu zakwestionowania wezwania lub przejrzenia szczegółów sprawy. Jednak ten link przekierowuje użytkowników do fałszywego portalu wsparcia. Chociaż strona ta ma imitować oficjalną stronę Google, adres URL zdradza jej prawdziwą naturę, ponieważ jest hostowana na sites.google.com. Ta fałszywa strona jest zaprojektowana w celu pozyskania danych logowania użytkownika do Google.
Jak Fałszywe E-maile Omijają Zabezpieczenia
Generowanie tych autentycznie wyglądających e-maili wynika z exploita wykorzystującego funkcje Gmaila. Oszuści osiągają to poprzez:
- Utworzenie określonego konta Google (np. Me@domain).
- Skonfigurowanie aplikacji Google OAuth przy użyciu tekstu wiadomości phishingowej i nazwanie jej czymś wiarygodnym, np. „Google Legal Support”.
- Przyznanie tej aplikacji OAuth dostępu do własnego konta Google 'me@…’.
Ten proces powoduje, że sam Google generuje prawdziwy e-mail z alertem bezpieczeństwa skierowany na adres 'me@…’ oszusta. Oszuści następnie przekazują ten wygenerowany przez Google, podpisany przez DKIM alert na listę potencjalnych ofiar. Ponieważ e-mail pochodzi legalnie z serwerów Google, omija filtry spamu i kontrole bezpieczeństwa, trafiając do skrzynki odbiorczej odbiorcy jako wiadomość wyglądająca na godną zaufania. Więcej o tym, jak chronić swoje aktywa cyfrowe, przeczytasz tutaj.
Rola Google Sites
Fałszywe strony do zbierania danych uwierzytelniających są hostowane przy użyciu Google Sites, starszego produktu Google. Ta platforma umożliwia użytkownikom tworzenie i hostowanie treści w poddomenie google.com. Co istotne, pozwala na osadzanie skryptów i innych aktywnych treści. Johnson zauważył, że ta funkcja przekształca Google Sites w potężne narzędzie dla phisherów, umożliwiając im łatwe konfigurowanie fałszywych stron logowania w zaufanej domenie. Nawet gdy Google usunie jedną witrynę phishingową, oszuści mogą szybko przesyłać nowe ze względu na charakter platformy. Zasugerował, że wyłączenie skryptów i arbitralnych osadzeń w Google Sites jest konieczne, aby ograniczyć to nadużycie.
Stanowisko Google i Świadomość Użytkowników
Pomimo oczywistych zagrożeń bezpieczeństwa reakcja Google była lekceważąca. Johnson zgłosił lukę za pośrednictwem kanału zgłaszania błędów Google. Jednak zgłoszenie zostało zamknięte, a zespół bezpieczeństwa Google stwierdził, że wykorzystywana funkcja „Działa zgodnie z przeznaczeniem” i nie jest uważana za błąd. Oznacza to, że luka może się utrzymywać. Więcej o potencjalnych zagrożeniach związanych z atakami przeczytasz w artykule o bezpieczeństwie w świecie kryptowalut.
Biorąc pod uwagę tę sytuację, czujność użytkowników jest najważniejsza. Osoby, szczególnie te zaangażowane w kryptowaluty, muszą być niezwykle ostrożne w stosunku do niezamówionych e-maili, nawet tych, które wydają się pochodzić od Google. Zawsze sprawdzaj legalność próśb o informacje i dokładnie sprawdzaj adresy URL przed wprowadzeniem danych uwierzytelniających, zwracając szczególną uwagę na subdomeny, takie jak sites.google.com, używane do treści generowanych przez użytkowników, a nie oficjalnych usług Google. Pamiętaj również o regularnych problemach z bezpieczeństwem kont i braku transparentności giełd.
Jerry od lat związany jest z rynkami finansowymi i specjalizuje się w analizie trendów kryptowalutowych. Swoje doświadczenie zdobywał w różnych zakątkach świata, a każdą wolną chwilę spędza na śledzeniu wykresów i czytaniu nowości z branży blockchain. Plotka głosi, że potrafi rozpoznać spadek Bitcoina nawet przez sen – i wtedy budzi się, by zapytać: „A może to tylko korekta?”