Хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. При этом оно вело на мошенническую страницу, которая собирала пользовательские данные для входа.
Злоумышленники использовали инфраструктуру Google, чтобы обманом заставить получателей получить доступ к легитимному «порталу поддержки», который запрашивает учётные данные аккаунтов. Мошенническое сообщение приходило с «no-reply@google.com» и проходило метод аутентификации DomainKeys Identified Mail (DKIM).
Ведущий разработчик Ethereum Name Service (ENS) Ник Джонсон получил предупреждение системы безопасности, которое, казалось, исходило от Google. В письме сообщалось о требовании правоохранительных органов предоставить содержимое его учётной записи Google. Однако Джонсон заметил, что поддельный портал поддержки в письме был размещён на sites.google.com — бесплатной платформе Google для создания веб-сайтов, что вызвало подозрения. Этот портал поддержки был «точной копией настоящего», и «единственный намек на фишинг заключался в том, что он размещён на sites.google.com, а не на accounts.google.com», заявил разработчик.
Тем не менее, само сообщение прошло проверку Google в так называемой фишинговой атаке с повторным воспроизведением DKIM. Если изучить детали письма, то выясняется, что заголовок mailed-by показывает другой адрес, нежели no-reply Google, а получатель — адрес me@ в домене, который выглядит так, будто он управляется Google. Тем не менее, сообщение было подписано и доставлено Google.
Джонсон решил выяснить, как мошенники реализуют атаку. «Сначала они регистрируют домен и создают учётную запись Google для me@domain. Домен не так важен, но помогает, если [sic] выглядит как какая‑то инфраструктура. Выбор „me“ для имени пользователя — это умно», — объясняет разработчик. Затем злоумышленник создал приложение Google OAuth и использовал в качестве своего имени всё фишинговое сообщение. Оно содержало много пробелов, чтобы выглядеть законченным и чтобы отделить его от уведомления Google о наличии доступа к адресу электронной почты злоумышленника me@domain.
Когда злоумышленник предоставил своему приложению OAuth доступ к этому адресу электронной почты в Google Workspace, компания автоматически отправила предупреждение безопасности на этот почтовый ящик.
«Поскольку Google сгенерировала электронное письмо, оно подписано действительным ключом DKIM и прошло все проверки», — говорит Джонсон. После этого хакерам оставалось только переслать сообщение жертвам.
Слабость систем Google заключается в том, что DKIM проверяет только сообщение и заголовки, без конверта. Таким образом, поддельное электронное письмо проходит проверку подписи и выглядит как законное в почтовом ящике получателя.
Кроме того, назвав мошеннический адрес me@, Gmail отобразит сообщение так, как будто оно было доставлено на адрес электронной почты жертвы.
EasyDMARC, компания по аутентификации электронной почты, также подробно описала фишинговую атаку с повторным воспроизведением DKIM и предоставила технические пояснения для каждого шага.
Похожий трюк был опробован и на других платформах, помимо Google. Ранее кампания, нацеленная на пользователей PayPal, использовала тот же метод, когда мошеннические сообщения отправлялись с почтовых серверов финансовой компании и проходили проверки безопасности DKIM.
Тесты BleepingComputer показали, что злоумышленник использовал опцию «подарочный адрес», чтобы связать новый адрес электронной почты со своей учётной записью PayPal. При добавлении нового адреса есть два поля, и злоумышленник заполнил одно адресом электронной почты, а затем вставил фишинговое сообщение во второе.
PayPal автоматически отправляет подтверждение на адрес злоумышленника, который пересылает его в список рассылки для потенциальных жертв в группе.
Джонсон отправил отчёт об ошибке в Google, и изначально компания ответила, что процесс DKIM работает так, как и предполагалось. Однако позже она пересмотрела проблему, признав её риском для своих пользователей, и в настоящее время работает над устранением уязвимости OAuth.
