Ειδικός σε θέματα τεχνολογίας και ασφάλειας ανέλυσε ένα νέο και εξελιγμένο είδος επιθέσεων phishing, με τα email να έρχονται σε χρήστες Gmail, από «έγκυρο, υπογεγραμμένο email». Ο ιδρυτής της Ethereum Name Service, Nick Johnson, ανάρτησε το Twitter τα ευρήματά του για να προειδοποιήσει το κοινό για μια εξαιρετικά εξελιγμένη επίθεση phishing, η οποία εκμεταλλεύεται μια ευπάθεια στην υποδομή της Google.
Βλέποντας την ανάρτηση, η Kaspersky προχώρησε σε δημοσίευση άρθρου για αυτές τις επιθέσεις, την περασμένη εβδομάδα, ενώ φαίνεται πως οι επιθέσεις συνεχίζονται.
Ο Johnson ανέβασε στο X πως έλαβε και ο ίδιος το phishing email, αναφέροντας πως κάνει χρήση της ευπάθειας της Google, που η εταιρεία αρνείται να διορθώσει.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
Το βασικό πρόβλημα με αυτού του τύπου τις επιθέσεις είναι πως μοιάζει πως προέρχεται από την Google σε όλα. «Στην πραγματικότητα στάλθηκε από το [email protected] », εξηγεί. «Περνάει τον έλεγχο υπογραφής DKIM και το Gmail το εμφανίζει χωρίς καμία προειδοποίηση – το τοποθετεί μάλιστα στην ίδια συζήτηση με άλλες, νόμιμες ειδοποιήσεις ασφαλείας».
Μάλιστα, όταν ο χρήστης πατήσει στο link που περιέχεται στο email, πηγαίνει σε ένα πολύ πειστικό αντίγραφο της πύλης υποστήριξης της Google, που φαίνεται να είναι ο πραγματικός σχεδόν σε όλα.
Η μόνη διαφορά που προδίδει πως πρόκειται για phishing είναι το ότι η διεύθυνση που μας πηγαίνει είναι το sites.google.com αντί για το accounts.google.com. Όμως, ακόμα και έτσι, είναι πολύ εύκολο να την πατήσει ακόμα και ο πιο έμπειρος χρήστης αν αφαιρεθεί για λίγα δευτερόλεπτα.
Σύμφωνα με τον Johnson, με αυτό τον τρόπο η απάτη λειτουργεί κλέβοντας τα διαπιστευτήρια σύνδεσής μας στον λογαριασμό του Gmail, στην περίπτωση που δεν καταλάβουμε την απάτη άμεσα και κάνουμε login. Στη συνέχεια παραβιάζει τον λογαριασμό μας, επιτρέποντας στους απατεώνες που είναι πίσω από αυτό να έχουν πρόσβαση σε όλους μας τους λογαριασμούς που έχουν δηλωμένο αυτό το email.
Πως κατάφεραν όμως οι απατεώνες να δημιουργήσουν ένα τόσο πειστικό email Phishing;
Ουσιαστικά καταχώρησαν ένα domain και δημιούργησαν έναν λογαριασμό Google για το “[email protected]”. Στη συνέχεια δημιούργησαν μια εφαρμογή Google OAuth, όπου εισήγαγαν το μήνυμα Phishing, μαζί με κάποιο κενό διάστημα και την ένδειξη Google Legal Support.
«Τώρα παραχωρούν στην εφαρμογή OAuth πρόσβαση στον λογαριασμό τους Google ‘me@…’. Αυτό δημιουργεί ένα μήνυμα ‘Ειδοποίησης Ασφαλείας’ από την Google, το οποίο αποστέλλεται στη διεύθυνση email τους ‘me@…’. Εφόσον η Google δημιούργησε το email, είναι υπογεγραμμένο με ένα έγκυρο κλειδί DKIM και περνάει όλους τους ελέγχους», εξηγεί ο Johnson.
Στη συνέχεια, οι απατεώνες «προωθούν το μήνυμα στα θύματά τους» και «επειδή το DKIM επαληθεύει μόνο το μήνυμα και τις κεφαλίδες του και όχι τον φάκελο, το μήνυμα περνάει την επικύρωση υπογραφής και εμφανίζεται ως νόμιμο μήνυμα στα εισερχόμενα του χρήστη – ακόμη και στο ίδιο νήμα με νόμιμες ειδοποιήσεις ασφαλείας».
Αυτό όσο περίεργο και αν ακούγεται, οφείλεται σε δύο τρωτά σημεία στην υποδομή της Google. Αρχικά η ψεύτικη πύλη που δημιούργησαν οι απατεώνες είναι αρκετά απλή διαδικασία, αφού οι χρήστες μπορούν να φιλοξενούν περιεχόμενο σε ένα subdomain του Google.com. Παράλληλα, η Google δεν προσφέρει τη δυνατότητα να γίνει αναφορά για κατάχρηση, που κάνει πιο εύκολη τη ζωή των phishers, που μπορούν να ανεβάζουν νέες εκδόσεις των σελίδων και των scripts που περιλαμβάνουν, όποτε επιθυμούν.
Ο Johnson προτείνει στην Google να απενεργοποιήσει τη δυνατότητα εκτέλεσης scripts και embeds σε αυτές τις σελίδες, καθώς αποτελούν ένα πολύ δυνατό εργαλείο για εξαπάτηση του κοινού. Υπογραμμίζει όμως πως το συγκεκριμένο email είναι πολύ πιο εξελιγμένο.
Κλοπή χρημάτων ψηφιακού πορτοφολιού με NFC ακουμπώντας τη συσκευή σε μια άλλη – Τι θα συμβεί
Παρόλο που το email υπογράφηκε από το accounts.google.com, βλέπουμε στο header του email, πως η αποστολή έγινε στην ουσία από το privateemail.com, όμως αυτό είναι κάτι που οι περισσότεροι χρήστες δε θα προσέξουν και θα αρκεστούν το να ελέγξουν το email, πόσο μάλλον όταν στο header βλέπουμε πως είναι signed by accounts.google.com.
Πρόκειται λοιπόν για έναν νέο και ιδιαίτερα εξελιγμένο τρόπο phishing, που εκμεταλλεύεται τα κενά που υπάρχουν στις υπηρεσίες της Google. Για αυτό πάντα κοιτάμε τους headers των email που μας έρχονται, για να είμαστε σίγουροι πως έρχονται από τις πραγματικές υπηρεσίες και όχι από κάποιους απατεώνες.
Ο Johnson έχει υποβάλει αναφορά σφάλματος της Google, που απάντησε πως θα διορθώσει το σφάλμα στο μέλλον. Βέβαια αυτό το κενό ασφαλείας δεν είναι νέο και η Google το “φτιάχνει” εδώ και καιρό…
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
