האקרים יכולים  לשלוח מייל דיוג מ-"no-reply@google.com"

חוקרים גילו תוכנית פישינג חכמה ומורכבת שניצלה לרעה את שירותי גוגל כדי להערים על אנשים למסור את פרטי הפלטפורמה שלהם.

ניק ג'ונסון, המפתח הראשי של שירות השמות של את'ריום, קיבל לאחרונה אימייל שנראה כאילו הגיע מ-no-reply@google.com. באימייל נאמר כי רשויות אכיפת החוק זימנו את גוגל בגין תוכן שנמצא בחשבון גוגל שלו.

הוא אמר שהאימייל נראה לגיטימי, וכי היה קשה מאוד לזהות שהוא אכן מזויף. הוא מאמין שמשתמשים פחות טכניים עלולים בקלות ליפול בפח.

DKIM חתם

ככל הנראה, הנוכלים יצרו תחילה חשבון גוגל עבור me@domain. לאחר מכן, הם היו יוצרים אפליקציית Google OAuth, ומכניסים את כל הודעת הפישינג (על הזימון המזויף) לשדה השם.

לאחר מכן, הם היו מעניקים לעצמם גישה לכתובת הדוא"ל ב-Google Workspace.

גוגל הייתה שולחת דוא"ל התראה לחשבון me@domain, אך מכיוון שהודעת הפישינג הייתה בשדה השם, היא הייתה מכסה את כל המסך.

גלילה לתחתית הודעת הדוא"ל הייתה מראה סימנים ברורים שמשהו לא בסדר, מכיוון שבתחתית ניתן היה לקרוא על קבלת גישה לכתובת הדוא"ל me@domain.

השלב האחרון הוא העברת הדוא"ל לקורבן. "מכיוון שגוגל יצרה את הדוא"ל, הוא חתום עם מפתח DKIM תקף ועובר את כל הבדיקות", הסביר ג'ונסון כיצד הדוא"ל נחתו בתיבת הדואר הנכנס של אנשים ולא בספאם.

המתקפה נקראת "התקפת פישינג חוזרת של DKIM", מכיוון שהיא נשענת על העובדה שבמערכות של גוגל, DKIM בודק רק את ההודעה והכותרות, לא את המעטפה. מאחר שהנוכלים רשמו לראשונה את כתובת הדומיין me@, גוגל תציג אותה כאילו נשלחה לכתובת הדוא"ל שלהם.

כדי להסתיר את כוונותיהם עוד יותר, הנוכלים השתמשו ב-sites.google.com כדי ליצור את דף הנחיתה לאיסוף אישורים. זוהי פלטפורמת בניית האתרים החינמית של גוגל ותמיד אמורה להדליק דגלים אדומים כאשר היא מתגלה.