Siber suçlular Google’ın altyapısını kötüye kullanıyor ve insanları Google hesap kimlik bilgilerini teslim etmeye ikna etmek için Google’dan geliyor gibi görünen e -postalar oluşturuyor.
İlk olarak Ethereum Name Service’in (ENS) baş geliştiricisi Nick Johnson tarafından işaretlenen bu saldırı, Etki Alanı Adı Sistemi (DNS) olarak bilinen popüler İnternet Adlandırma Sözleşmesinin Blockchain eşdeğeri.
Nick, Nick’in Google hesabında yer alan bilgilere kolluk kuvvetleri tarafından Google’a verildiği iddia edilen bir mahkeme celbi hakkında çok resmi görünümlü bir güvenlik uyarısı aldı. E -postadaki bir URL, Nick’i Sites.google.com sayfasına, resmi Google Destek Portalının tam bir kopyasına benzeyen bir siteye işaret etti.
Bilgisayar meraklısı bir insan olarak Nick, resmi sitenin barındırılması gerektiğini fark etti. accounts.google.com Ve değil sites.google.com. Fark, bir Google hesabı olan herkesin bir web sitesi oluşturabilmesidir. sites.google.com. Ve siber suçluların tam olarak yaptığı şey bu.
Alan adı çoğu kullanıcı için güvenilir göründüğü ve birçok güvenlik filtresini atlayabildiğinden, saldırganlar Google sitelerini kimlik avı sayfalarını barındırmak için giderek daha fazla kullanıyor. Bu filtrelerden biri, gönderme sunucusunun bir e -postaya dijital imza eklemesini sağlayan bir e -posta kimlik doğrulama protokolü olan DKIM (DomainKeys Tanımlı Posta).
Hedef “Ek Belgeler Yükle” veya “Görünümü Görüntüle” yi tıkladıysa, giriş bilgilerini çalmak için tasarlanmış Google oturum açma sayfasının tam bir kopyasına yönlendirildi.
Google kimlik bilgileriniz açgözlü bir avdır, çünkü Gmail, Google Drive, Google Fotoğraflar, Google Takvimi, Google Kişiler, Google Haritalar, Google Play ve YouTube gibi temel Google hizmetlerine erişim sağlarlar, aynı zamanda Google hesabınızla birlikte giriş yapmayı seçtiğiniz tüm üçüncü taraf uygulamaları ve hizmetleri.
Bu aldatmacayı tanıyacak işaretler şu adreste barındırılan sayfalardır sites.google.com hangisi olmalı support.google.com Ve accounts.google.com ve e -posta başlığındaki gönderen adresi. İmzalanmış olmasına rağmen accounts.google.combaşka bir adresle e -postayla gönderildi. Bir kişi tüm bu hesapları tek seferde tehlikeye atmış olsaydı, bu kolayca kimlik hırsızlığına yol açabilir.
Böyle dolandırıcılıklardan nasıl kaçınılır
- İstenmeyen e -postalarda veya beklenmedik web sitelerindeki bağlantıları takip etmeyin
- Beklenmedik bir posta aldığınızda e -posta başlıklarına dikkatlice bakın
- Bu tür e -postaların meşruiyetini başka bir bağımsız yöntemle doğrulayın
- Diğer sitelerde ve hizmetlerde giriş yapmak için Google hesabınızı (veya bu konuda Facebook) kullanmayın. Bunun yerine hizmetin kendisinde bir hesap oluşturun.
Teknik detaylar
Nick’e yapılan saldırıda kullanılan URL’nin analiz edilmesi, (https://sites.google.com[/]u/17918456/d/1W4M_jFajsC8YKeRJn6tt_b1Ja9Puh6_v/edit) Neresi /u/17918456/ bir kullanıcı veya hesap tanımlayıcısıdır ve /d/1W4M_jFajsC8YKeRJn6tt_b1Ja9Puh6_v/ tam sayfayı tanımlar, /edit Kısmı ağrılı bir başparmak gibi öne çıkıyor.
DKIM imzalı mesajlar, vücut değişmeden kaldığı sürece tekrarlar sırasında imzayı tutar. Dolayısıyla, kötü niyetli bir aktör daha önce meşru DKIM tarafından imzalanmış bir e-postaya erişirse, bu mesajı herhangi bir zamanda yeniden gönderebilirler ve yine de kimlik doğrulamasını geçecektir.
Öyleyse, siber suçluların yaptığı şuydu:
- Benimle başlayan bir Gmail hesabı oluşturun@ görünür e -posta, “Ben” olarak ele alınmış gibi görünecek.
- Bir OAuth uygulaması kaydedin ve uygulama adını kimlik avı bağlantısına uygun olarak ayarlayın
- OAUTH uygulamasına, meşru bir güvenlik uyarısını tetikleyen Google hesaplarına erişim sağlayın.
no-reply@accounts.google.com - Bu uyarı, uygulama adı olarak gövdeye gömülü kimlik avı e -postasının içeriği ile geçerli bir DKIM imzasına sahiptir.
- DKIM imzasını geçerli tutan mesaja el değmemiş mesajı iletin.
Adıyla kimlik avı mesajının tüm metnini içeren uygulamayı oluşturmak ve açılış sayfası ve sahte giriş sitesi hazırlamak çok iş gibi görünebilir. Ancak suçlular ilk çalışmayı tamamladıktan sonra, prosedür bir sayfa bildirildikten sonra tekrarlamak için yeterince kolaydır, bu da kolay değildir sites.google.com.
Nick bu konuda Google’a bir hata raporu gönderdi. Google başlangıçta raporu ‘amaçlandığı gibi çalışıyor’ olarak kapattı, ancak daha sonra Google ona geri döndü ve konuyu yeniden değerlendirdiğini ve OAuth hatasını düzelteceğini söyledi.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.