Escrocii se dau drept Google într-o campanie de phishing sofisticată

Infractorii cibernetici falsifică un cont oficial Google pentru a trimite e-mailuri malițioase convingătoare într-o campanie de phishing extrem de bine pusă la punct.

Nouă campanie de phishing sofisticată, identificată

A apărut o nouă schemă de phishing care folosește e-mailuri false trimise de pe o adresă Google contrafăcută. Campania este atât de atent construită încât experții în securitate cibernetică se tem că mulți utilizatori ar putea fi induși în eroare de autenticitatea aparentă a mesajelor.

Atacul constă în trimiterea de către atacatori a unor e-mailuri care par să provină de la o adresă oficială Google (no-reply[@]google[.]com). Corpul mesajului include o citație aparent oficială care solicită de urgență informații din contul Google al destinatarului.

"Semnat, sigilat, livrat" de Google

Pericolul asociat cu această campanie derivă din gradul său de sofisticare. Infractorii au găsit o metodă de a falsifica adresa Google, de a ocoli mecanismele de protecție ale e-mailurilor și de a face ca mesajele să pară semnate și livrate chiar de Google. Și, într-un fel, chiar sunt.

Potrivit lui Nick Johnson, dezvoltator principal al Ethereum Name Service (ENS) și una dintre victimele tentativei de phishing, Google a plasat e-mailul fraudulos încă alături de alte alerte de securitate autentice.

Se pare că atacatorii au folosit o tehnică numită DKIM replay phishing, reutilizând un e-mail generat de Google fără a modifica semnătura DKIM (DomainKeys Identified Mail). Au retransmis mesajul malițios păstrând intacte elementele de semnătură, astfel încât mesajul a trecut de verificările DKIM și a părut legitim.

Detalii despre mesajele frauduloase

Corpul e-mailului conținea o citație urgentă de la o autoritate legală, care solicita "conținutul contului Google", un număr de referință și un ID de cont Google.

Această combinație de elemente, coroborată cu lipsa greșelilor gramaticale sau a altor semne evidente de fraudă, sporește riscul pentru utilizatorii mai puțin experimentați să recunoască astfel de atacuri.

Mesajele false includeau un indiciu subtil

E-mailul includea și o secțiune denumită "Google Support Case", unde atacatorul adăugase un link. Acesta părea legitim, fiind găzduit pe un domeniu aparținând Google.

Accesarea linkului ducea destinatarul către un portal fals de suport, aparent o copie fidelă a unui serviciu oficial.

Totuși, utilizarea unui link de forma sites-google[.]com a ridicat suspiciuni, deoarece Google nu folosește platforma sa gratuită de creare site-uri pentru notificări urgente.

Portalul fals este suspectat a fi o pagină de phishing sofisticată, cerând utilizatorului să introducă un nume de utilizator și o parolă.

Reacția Google și măsuri luate

După descoperirea campaniei, Johnson a raportat vulnerabilitatea printr-un bug report adresat Google. Inițial, compania a răspuns că totul funcționează conform așteptărilor și a refuzat să intervină.

Ulterior, Google și-a reevaluat poziția, recunoscând vulnerabilitatea legată de OAuth ca fiind un risc pentru utilizatori și a luat măsuri pentru remedierea acesteia.

Cum să te protejezi de phishing și alte amenințări

Soluții de securitate precum Bitdefender Ultimate Security îți pot oferi un avantaj important în fața atacatorilor cibernetici care exploatează orice punct vulnerabil.

Acesta include funcții de protecție a e-mailurilor și module anti-phishing care monitorizează constant inbox-ul și te feresc de site-uri frauduloase care se dau drept legitime pentru a-ți fura datele sau banii.

Funcțiile-cheie includ protecție completă în timp real împotriva virușilor, troienilor, viermilor, exploit-urilor zero-day, ransomware-ului, spyware-ului și altor amenințări, prevenirea atacurilor web, detecție comportamentală pentru aplicațiile active și identificarea automata a tentativelor de fraudă cu ajutorul inteligenței artificiale.