Pojavila se iznimno sofisticirana nova Gmail prijevara: Korištenje google.com vlastitog naziva domene za krađu računa!
Sofisticirana phishing kampanja cilja korisnike Gmaila lažnim e-porukama sa sigurnosnim porukama od Googlea, zaobilazeći DKIM autentifikaciju i koristeći Googleov vlastiti naziv domene kako bi ih namamila u krađu računa.
Upravo je izdano hitno sigurnosno upozorenje milijunima korisnika Gmaila diljem svijeta. U tijeku je iznimno sofisticirana phishing kampanja koja koristi lažne e-poruke u obliku važnih sigurnosnih obavijesti samog Googlea. Najopasnija točka je da ove phishing e-poruke izgledaju točno kao stvarne e-poruke, poslane s @google.com adresa, zaobilaze Googleove stroge korake provjere autentičnosti e-pošte i vode korisnike na lažne stranice za prijavu koje se nalaze na samoj sites.google.com platformi.
Incident je prvi put otkrio i prijavio 16. travnja programer softvera po imenu Nick Johnson na društvenoj mreži X. Phishing e-mail koji je primio imao je naslov i upozorenje da je Google primio sudski nalog u kojem se traži kopija sadržaja njegovog Google računa. U e-poruci se od njega tražilo da klikne na priloženu poveznicu na Googleovu stranicu za podršku kako bi vidio detalje ili podnio prigovor.
Ono što ovu prijevaru čini posebno opasnom su gotovo savršeni elementi za izgradnju povjerenja: E-pošta se šalje s no-reply@google.com adrese.
Uspješna autentifikacija
Ova e-pošta prošla je stroge provjere autentičnosti pošte DomainKeys Identified Mail (DKIM) koje sam Gmail primjenjuje (a Microsoft također dolazi u Outlook od 5. svibnja). To često pomaže korisnicima da vjeruju da e-pošta dolazi od pravog legitimnog pošiljatelja. Prema riječima stručnjakinje Melisse Bischoping iz Taniuma, napadač je iskoristio OAuth aplikaciju u kombinaciji s “inovativnim DKIM trikom” kako bi zaobišao ovu barijeru. Nadalje, Gmail čak automatski postavlja e-poštu za krađu identiteta u isti tok razgovora kao i druge valjane e-poruke sa sigurnosnim obavijestima od Googlea koje su korisnici primili, a poveznica u e-poruci vodi na stranicu za podršku i stranicu za prijavu koja se kopira točno kao Googleovo sučelje. Međutim n alazi se na sites.google.com platformi. Činjenica da se lažna stranica nalazi na poddomeni google.com-a korisnicima vrlo otežava otkrivanje bez dvostruke provjere pune adrese (prava stranica za prijavu mora biti accounts.google.com). Ako korisnici izgube budnost i unesu svoje podatke za prijavu (korisničko ime, lozinku) na ovu lažnu stranicu, njihov Google račun će pasti u ruke hakera, što dovodi do rizika od gubitka kontrole nad Gmailom, Google diskom i svim povezanim osjetljivim podacima.
Google želi prestati koristiti SMS kontrolni kod prilikom kreiranja Gmail računa
Što je arhivirana pošta? Funkcija Gmail arhiviranih e-poruka, kako ih otvoriti, razlika između vraćanja i brisanja
Gmailovih 5 skrivenih trikova
Povratne informacije od Googlea i savjeti korisnicima
Dobra vijest je da je Google potvrdio ovu kampanju napada i rekao da provodi zaštitne mjere za borbu protiv specifičnih napada ovog aktera prijetnje. “Ove zaštite uskoro će biti u potpunosti implementirane, što će zaustaviti ovaj put zlostavljanja”, rekao je glasnogovornik Googlea.
U međuvremenu, Google nudi važne savjete korisnicima da se zaštite:
- Omogućite dvofaktorsku autentifikaciju (2FA): Ovo je iznimno važan sloj zaštite, čak i ako je lozinka izložena, lopovima je i dalje potreban drugi autentifikacijski kod.
- Prebacite se na pristupne ključeve: Nova metoda prijave bez lozinke, koja koristi enkripciju i biometriju, pruža “snažnu zaštitu od ovih vrsta phishing kampanja”.
Stručnjakinja Melissa Bischoping također je naglasila da napadi koji iskorištavaju povjerenje u popularne poslovne usluge nisu neuobičajeni. Stoga korisnici uvijek moraju biti na oprezu s e-porukama koje izgledaju legitimno, čak i ako dolaze od samog Googlea. Obuka o podizanju svijesti o kibernetičkoj sigurnosti mora se razvijati zajedno s prijetnjama. I što je najvažnije, snažna višefaktorska autentifikacija je ključna jer krađa vjerodajnica ostaje privlačna meta za hakere.
