Основатель и ведущий разработчик Ethereum Name Service предупредил своих подписчиков в X о «чрезвычайно сложной» фишинговой атаке, которая может выдавать себя за Google и обманывать пользователей, заставляя их раскрывать учетные данные для входа.
Фишинговая атака использует инфраструктуру Google для отправки пользователям поддельное уведомление о том, что их данные Google передаются правоохранительным органам по запросу, — сказал Nick Johnson из ENS в посте 16 апреля в X.
«Она проходит проверку подписи DKIM, и GMail отображает её без каких-либо предупреждений — она даже помещается в ту же переписку с другими, законными предупреждениями о безопасности», — отметил он.
В рамках атаки пользователям предлагается возможность просмотреть материалы дела или подать возражение, нажав на ссылку на страницу поддержки, которая использует Google Sites, инструмент, который можно использовать для создания веб-сайта в поддомене Google, по словам Johnson.
«Оттуда, предположительно, они собирают ваши учетные данные для входа и используют их для компрометации вашей учетной записи; я не стал углубляться в проверку», — добавил он.
Название домена Google делает письмо более правдоподобным, но Johnson подчеркивает, что все же есть явные признаки того, что это фишинговый scam — например, оно пересылается с частного адреса электронной почты.
Мошенники используют системы Google
В отчете от 11 апреля компания EasyDMARC объяснила, что фишинговый scam работает путем использования Google Sites.
Любой, у кого есть учетная запись Google, может создать сайт, который выглядит законным и размещен на доверенном домене, принадлежащем Google.
Они также используют приложение Google OAuth, где «ключевым трюком является возможность вставлять что угодно в поле «Название приложения» в Google», и используют домен через Namecheap, который позволяет им «устанавливать no-reply@google как адрес отправителя и адрес ответа может быть любым».
«Наконец, они пересылают сообщение своим жертвам. Поскольку DKIM проверяет только сообщение и его заголовки, а не конверт, этот метод атаки не может быть заблокирован», — уточнили эксперты. «Поэтому сообщение выглядит законным».
Представитель Google добавил, что компания никогда не запрашивает какие-либо личные учетные данные — включая пароли, одноразовые пароли или push-уведомления, и не звонит пользователям.
«Мы осведомлены об этом типе целенаправленных атак от группировки Rockfoils и в течение последней недели разворачиваем защиту. Эта защита будет полностью развернута в ближайшее время, что заблокирует этот способ злоупотреблений», — заявил представитель.
«Тем не менее, мы рекомендуем пользователям использовать двухфакторную аутентификацию и passkeys, которые обеспечивают надежную защиту от этого типа фишинговых кампаний».
Представитель добавил, что компания никогда не запрашивает какие-либо личные учетные данные — включая пароли, одноразовые пароли или push-уведомления, и не звонит пользователям.
