Οι κυβερνοεγκληματίες καταχρώνται την υποδομή της Google, δημιουργώντας email που φαίνεται να προέρχονται από την Google, προκειμένου να πείσουν τους ανθρώπους να παραδώσουν τα διαπιστευτήρια του λογαριασμού τους Google.
Αυτή η επίθεση, επισημάνθηκε για πρώτη φορά από τον Nick Johnson, τον κύριο προγραμματιστή της Υπηρεσίας Ονομάτων Ethereum (ENS), ενός ισοδύναμου blockchain της δημοφιλούς σύμβασης ονοματοδοσίας στο διαδίκτυο, γνωστής ως Σύστημα Ονομάτων Τομέα (DNS).
Ο Nick έλαβε μια πολύ επίσημη ειδοποίηση ασφαλείας σχετικά με μια κλήτευση που φέρεται να εκδόθηκε στην Google από τις αρχές επιβολής του νόμου για πληροφορίες που περιέχονταν στον λογαριασμό Google του Nick. Μια διεύθυνση URL στο email οδήγησε τον Nick σε μια σελίδα sites.google.com που έμοιαζε με ακριβές αντίγραφο της επίσημης πύλης υποστήριξης της Google.
Πρόσφατα, έγινα στόχος μιας εξαιρετικά εξελιγμένης επίθεσης ηλεκτρονικού “ψαρέματος” (phishing) και θέλω να την επισημάνω εδώ. Εκμεταλλεύεται μια ευπάθεια στην υποδομή της Google και, δεδομένης της άρνησής τους να την διορθώσουν, είναι πιθανό να τη βλέπουμε πολύ πιο συχνά.
— nick.eth (@nicksdjohnson) 16 Απριλίου 2025
Ως άνθρωπος που γνωρίζει τους υπολογιστές, ο Nick παρατήρησε ότι ο επίσημος ιστότοπος θα έπρεπε να φιλοξενείται στο accounts.google.com και όχι στο sites.google.com. Η διαφορά είναι ότι οποιοσδήποτε έχει λογαριασμό Google μπορεί να δημιουργήσει έναν ιστότοπο στο sites.google.com. Και αυτό ακριβώς έκαναν οι κυβερνοεγκληματίες.
Οι εισβολείς χρησιμοποιούν όλο και περισσότερο τους Ιστότοπους Google για να φιλοξενούν σελίδες ηλεκτρονικού “ψαρέματος” (phishing) επειδή ο τομέας φαίνεται αξιόπιστος στους περισσότερους χρήστες και μπορεί να παρακάμψει πολλά φίλτρα ασφαλείας. Ένα από αυτά τα φίλτρα είναι το DKIM (DomainKeys Identified Mail), ένα πρωτόκολλο ελέγχου ταυτότητας email που επιτρέπει στον διακομιστή αποστολής να επισυνάψει μια ψηφιακή υπογραφή σε ένα email.
Εάν ο στόχος έκανε κλικ είτε στο “Μεταφόρτωση πρόσθετων εγγράφων” είτε στο “Προβολή υπόθεσης”, ανακατευθύνονταν σε ένα ακριβές αντίγραφο της σελίδας σύνδεσης Google που είχε σχεδιαστεί για να κλέψει τα διαπιστευτήρια σύνδεσής του.
Τα διαπιστευτήριά σας Google είναι περιζήτητη λεία, επειδή παρέχουν πρόσβαση σε βασικές υπηρεσίες της Google όπως το Gmail, το Google Drive, το Google Photos, το Ημερολόγιο Google, τις Επαφές Google, τους Χάρτες Google, το Google Play και το YouTube, αλλά και σε οποιεσδήποτε εφαρμογές και υπηρεσίες τρίτων που έχετε επιλέξει για να συνδεθείτε με τον Λογαριασμό σας Google.
Τα σημάδια για να αναγνωρίσετε αυτήν την απάτη είναι οι σελίδες που φιλοξενούνται στο sites.google.com, οι οποίες θα έπρεπε να είναι support.google.com και accounts.google.com, και η διεύθυνση αποστολέα στην κεφαλίδα του email. Παρόλο που υπογράφηκε από το accounts.google.com, στάλθηκε μέσω email από άλλη διεύθυνση. Εάν όλοι αυτοί οι λογαριασμοί ενός ατόμου είχαν παραβιαστεί μονομιάς, αυτό θα μπορούσε εύκολα να οδηγήσει σε κλοπή ταυτότητας.
Πώς να αποφύγετε απάτες όπως αυτή
Μην ακολουθείτε συνδέσμους σε ανεπιθύμητα email ή σε απροσδόκητους ιστότοπους
Ελέγξτε προσεκτικά τις κεφαλίδες των email όταν λαμβάνετε ένα απροσδόκητο email
Επαληθεύστε τη νομιμότητα τέτοιων email μέσω μιας άλλης, ανεξάρτητης μεθόδου
Μην χρησιμοποιείτε τον Λογαριασμό σας Google (ή το Facebook για αυτό το θέμα) για να συνδεθείτε σε άλλους ιστότοπους και υπηρεσίες. Αντ’ αυτού, δημιουργήστε έναν λογαριασμό στην ίδια την υπηρεσία.
Τεχνικές λεπτομέρειες
Αναλύοντας τη διεύθυνση URL που χρησιμοποιήθηκε στην επίθεση στον Nick, όπου το /u/17918456/ είναι ένα αναγνωριστικό χρήστη ή λογαριασμού και το /d/1W4M_jFajsC8YKeRJn6tt_b1Ja9Puh6_v/ προσδιορίζει την ακριβή σελίδα, το τμήμα /edit ξεχωρίζει έντονα.
Τα μηνύματα με υπογραφή DKIM διατηρούν την υπογραφή κατά τις επαναλήψεις, εφόσον το σώμα παραμένει αμετάβλητο. Έτσι, εάν ένας κακόβουλος παράγοντας αποκτήσει πρόσβαση σε ένα προηγουμένως νόμιμο email με υπογραφή DKIM, μπορεί να στείλει ξανά αυτό το ακριβές μήνυμα ανά πάσα στιγμή και αυτό θα περάσει τον έλεγχο ταυτότητας.
Λοιπόν, αυτό που έκαναν οι κυβερνοεγκληματίες ήταν:
Ρύθμισαν έναν λογαριασμό Gmail που ξεκινά με me@, έτσι ώστε το ορατό email να φαίνεται σαν να απευθύνεται σε “εμένα”.
Καταχώρισαν μια εφαρμογή OAuth και ορίσαν το όνομα της εφαρμογής ώστε να ταιριάζει με τον σύνδεσμο ηλεκτρονικού “ψαρέματος” (phishing).
Παράγουν στην εφαρμογή OAuth πρόσβαση στον λογαριασμό Google, κάτι που ενεργοποιεί μια νόμιμη προειδοποίηση ασφαλείας από το [email protected].
Αυτή η ειδοποίηση έχει μια έγκυρη υπογραφή DKIM, με το περιεχόμενο του email ηλεκτρονικού “ψαρέματος” ενσωματωμένο στο σώμα ως όνομα της εφαρμογής.
Προωθήστε το μήνυμα ανέπαφο, διατηρώντας την υπογραφή DKIM έγκυρη.
Η δημιουργία της εφαρμογής που περιέχει ολόκληρο το κείμενο του μηνύματος ηλεκτρονικού “ψαρέματος” για το όνομά της και η προετοιμασία της σελίδας προορισμού και του ψεύτικου ιστότοπου σύνδεσης μπορεί να φαίνεται πολλή δουλειά. Αλλά μόλις οι εγκληματίες ολοκληρώσουν την αρχική εργασία, η διαδικασία είναι αρκετά εύκολη για να επαναληφθεί μόλις αναφερθεί μια σελίδα, κάτι που δεν είναι εύκολο στο sites.google.com.
Ο Nick υπέβαλε μια αναφορά σφάλματος στην Google σχετικά με αυτό. Η Google αρχικά έκλεισε την αναφορά με την ένδειξη «Λειτουργεί όπως προβλέπεται», αλλά αργότερα η Google επικοινώνησε μαζί του και του είπε ότι είχε επανεξετάσει το θέμα και ότι θα διορθώσει το σφάλμα OAuth.
Πηγή: MalwareBytes