“Son derece sofistike bir kimlik avı saldırısı” olarak tanımlanan tehdit aktörleri, sahte e -postaların Google’ın altyapısı aracılığıyla gönderilmesine ve mesaj alıcılarını kimlik bilgilerini toplayan hileli sitelere yönlendirmesine izin veren nadir bir yaklaşımdan yararlandı.
Ethereum Name Service’in (ENS) baş geliştiricisi Nick Johnson, X’teki bir dizi yayında, “Dikkat edilmesi gereken ilk şey, geçerli, imzalı bir e-posta-gerçekten no-reply@google.com’dan gönderildi.” Dedi.
Diyerek şöyle devam etti: “DKIM imza kontrolünü geçiyor ve Gmail herhangi bir uyarı olmadan görüntüleniyor – hatta diğer meşru güvenlik uyarılarıyla aynı konuşmaya bile sokuyor.”
E -posta mesajı, bir kolluk kuvvetinden gelen bir mahkeme celbi için google hesaplarında mevcut olmayan içeriği isteyen ve bir sitelere tıklamaya çağırıyor.[.]com url “vaka materyallerini incelemek veya bir protesto sunmak için önlemler almak” için.
Google Siteleri URL’si, meşru Google Destek sayfasını taklit eden ve “Ek Belgeler Yükleme” veya “Görünüm Kılıfı” için düğmeler içerir. Seçeneklerden herhangi birini tıklamak, kurbanı bir kopya Google hesabı oturum açma sayfasına götürür, tek fark Google sitelerinde barındırılmasıdır.
Johnson, “Sites.google.com, Google’ın güvenlik konusunda ciddileşmeden önce eski bir üründür; kullanıcıların bir google.com alt alanında içeriği barındırmasına izin verir ve en önemlisi keyfi komut dosyalarını ve gömme işlemlerini destekler.” Dedi.
“Açıkçası bu, bir kimlik bilgisi hasat sitesi oluşturmayı önemsiz hale getiriyor; eski sürümler Google’ın istismar ekibi tarafından kaldırıldıkça yeni sürümler yüklemeye hazır olmaları gerekiyor. Saldırganlara da siteler arayüzünden istismar bildirmenin bir yolu olmadığına yardımcı oluyor.”
Saldırının akıllıca bir yönü[.]com “Tamamen ilgisiz bir alana sahip bir” Posta “başlığı olmasına rağmen (” FWD-04-1.fwd.PrivateEmail[.]com “).
Kötü niyetli etkinlik, saldırganın ilk olarak yeni oluşturulan bir alan adı için bir Google hesabı oluşturduğu bir DKIM tekrar saldırısı olarak nitelendirildi (“Me@
Johnson, “Şimdi OAuth uygulamalarını ‘Me@…’ Google hesaplarına erişim sağlıyorlar.” Dedi. “Bu, Google’dan ‘Me@…’ e -posta adresine gönderilen bir ‘Güvenlik Uyarısı’ mesajı oluşturur. Google e -postayı oluşturduğundan, geçerli bir DKIM tuşuyla imzalanır ve tüm çekleri geçer.”
Saldırgan daha sonra aynı mesajı bir Outlook hesabından iletmeye devam eder, DKIM imzasını sağlam tutar ve EasyDMarc’a göre mesajın e -posta güvenlik filtrelerini atlamasına neden olur. Mesaj daha sonra denizanası adı verilen ve Namecheap’in Posta Yönetimi’ni hedeflenen Gmail hesabına kolaylaştıran özel ödeme altyapısı tarafından alınan özel bir Basit Posta Aktarım Protokolü (SMTP) hizmeti ile aktarılır.
EasyDMARC CEO’su Gerasim Hovhannisyan, “Bu noktada, e -posta, kurbanın gelen kutusuna Google’dan geçerli bir mesaja benziyor ve tüm kimlik doğrulama kontrolleri SPF, DKIM ve DMAR’ı geçiyor.” Dedi.
Johnson, “Google hesabını ‘me@’ olarak adlandırdıkları için Gmail, mesajın en üstte ‘Me’ e gönderildiğini gösteriyor, bu da e -posta adresinize bir mesaj ele alındığında kullandığı stenografi – kırmızı bayraklar gönderebilecek başka bir göstergeden kaçındı.”
Yorum için ulaşıldığında Google, Hacker News’e, istismar yolunu durdurmak için düzeltmeler yaptığını ve şirketin ne şifreler veya tek seferlik şifreler gibi hesap kimlik bilgilerini istemediğini veya doğrudan kullanıcıları aradığını vurguladı.
Bir Google sözcüsü, “Bu tehdit aktörünün bu hedefli saldırı sınıfının farkındayız ve bu caddeyi istismar için kapatmak için korumalar çıkardık.” Dedi. Diyerek şöyle devam etti: “Bu arada, kullanıcıları bu tür kimlik avı kampanyalarına karşı güçlü bir koruma sağlayan iki faktörlü kimlik doğrulama ve passeyleri benimsemeye teşvik ediyoruz.”
Açıklama, Guardio Labs’ın e-posta güvenliği satıcısı Proofpoint’in Best Buy, IBM, Nike ve Walt Disney gibi çeşitli popüler şirketleri sahte olarak kullanan milyonlarca mesajı göndermek için sömürdüğü ve bypass kimlik doğrulama önlemlerini göndermek için şimdi daplanmış bir yanlış yapılandırma ortaya çıkardıktan yaklaşık dokuz ay sonra geliyor.
Ayrıca, kullanıcıları bir haydut Microsoft giriş formuna veya kimlik bilgilerine dahil etmek için Google Voice olarak maskelenen bir sahte web sayfasına yönlendiren HTML kodunun yürütülmesini tetiklemek için ölçeklenebilir vektör grafiklerindeki (SVG) formatındaki ekleri kullanan kimlik avı kampanyalarında bir artışla çakışır.
Rus siber güvenlik şirketi Kaspersky, 2025’in başından beri SVG ekleri olan 4.100’den fazla kimlik avı e -postası gözlemlediğini söyledi.
Kaspersky, “Phishers, tespiti atlatmak için acımasızca yeni teknikleri keşfediyorlar.” Dedi. “Taktiklerini değiştirirler, bazen kullanıcı yeniden yönlendirme ve metin gizleme ve diğer zamanlarda farklı ek formatları denemektedirler. SVG biçimi, saldırganlar tarafından kötüye kullanılan görüntülere HTML ve JavaScript kodunu yerleştirme yeteneğini sağlar.”