O nouă metodă ingenioasă de atac cibernetic afectează utilizatorii Gmail, profitând de infrastructura Google pentru a crea emailuri care par complet autentice. Infractorii cibernetici reușesc astfel să convingă victimele să-și ofere datele de autentificare în contul Google, cu toate riscurile pe care acest lucru le implică.
Totul a început când Nick Johnson, dezvoltatorul principal al Ethereum Name Service (ENS) – o alternativă blockchain la sistemul DNS – a primit un email care părea să vină direct de la Google. Mesajul anunța o presupusă citație emisă de autorități și părea să fie un avertisment de securitate legitim. În realitate, era un atac sofisticat.
Cum funcționează atacul
Emailul conținea un link către un site găzduit pe sites.google.com, care imita perfect portalul oficial de suport Google. Pentru utilizatorii obișnuiți, pagina părea autentică. Doar cei atenți ar fi observat că pagina legitimă ar fi trebuit să fie pe domeniul accounts.google.com, nu pe sites.google.com, unde orice utilizator cu un cont Google poate crea site-uri proprii.
Dacă victima dădea clic pe „Upload additional documents” sau „View case”, era redirecționată către o clonă a paginii de autentificare Google, concepută special pentru a fura datele de conectare.
De ce este periculos
Odată compromiși, creditelele Google oferă acces la întreaga suită de servicii Google: Gmail, Drive, Photos, Calendar, Contacts, Maps, Play și YouTube, dar și la aplicațiile terțe în care utilizatorul s-a autentificat cu contul Google.
Mai grav, atacul reușește să păcălească sistemele de protecție, precum DKIM (DomainKeys Identified Mail), un protocol care validează autenticitatea emailurilor. Deoarece atacatorii folosesc o tehnică de „replay” – retrimiterea unui email semnat DKIM fără modificarea conținutului – semnătura rămâne validă, iar filtrarea automată a mesajelor periculoase poate fi ocolită.
Ce au făcut concret atacatorii
Au creat un cont Gmail care începe cu
me@pentru a părea că mesajul este adresat chiar utilizatorului.Au înregistrat o aplicație OAuth cu un nume identic cu textul emailului phishing.
Au oferit aplicației permisiuni asupra contului lor Google, ceea ce a declanșat un avertisment de securitate legitim de la
no-reply@accounts.google.com.Au redirecționat acest mesaj către victimă, păstrând validă semnătura DKIM.
Între timp, au creat o pagină pe
sites.google.comși un site fals de autentificare.
Chiar dacă pare o muncă laborioasă, o dată creat mecanismul, atacul poate fi replicat rapid, mai ales că raportarea și închiderea acestor site-uri de phishing pe sites.google.com nu este un proces simplu sau rapid.
Reacția Google
Nick Johnson a raportat problema către Google. Inițial, compania a închis raportul cu mențiunea „Functionează conform intenției”. Ulterior, după ce problema a devenit publică, Google a revenit asupra deciziei și a promis că va remedia bug-ul din OAuth.
Cum te poți proteja
Nu accesa linkuri din emailuri nesolicitate, chiar dacă par să vină de la Google.
Verifică cu atenție adresa URL și domeniul. Pagini oficiale Google au adrese de forma
support.google.comsauaccounts.google.com, nusites.google.com.Analizează antetul emailului – cine a trimis cu adevărat mesajul?
Nu folosi contul Google pentru autentificarea în aplicații terțe. Creează un cont separat, ori de câte ori este posibil.
Folosește autentificarea cu doi factori (2FA) pentru contul tău Google.
Concluzie
Acest nou tip de atac arată cât de vulnerabile pot fi chiar și sistemele bine securizate, atunci când atacatorii exploatează în mod creativ elemente legitime ale infrastructurii. Este un avertisment serios pentru toți utilizatorii Gmail – prudența și vigilența rămân cele mai bune forme de apărare.
