Tech Aktualności

Cyberprzestępcy przejmują reputację Google

Nowa kampania phishingowa wykorzystuje witryny Google i DKIM Replay do kradzieży danych logowania

Wiadomości ITFunk
Wiadomości ITFunk
Cyberprzestępcy przejmują reputację Google

Wprowadzenie: Zdradzone zaufanie

Kiedy widzimy „brak-odpowiedzi@google.com„w naszej skrzynce odbiorczej, instynktownie jej ufamy. W końcu to Google. Ale to zaufanie jest dokładnie tym, co niedawno odkryta kampania phishingowa uczyniła bronią — zamieniając własne usługi Google w mechanizm dostarczania oszustw. Używając potężnej mieszanki Witryny GoogleNadużycie Google OAuthPowtórka podpisu DKIMatakujący opracowali technikę, która sprawia, że ​​złośliwe wiadomości e-mail wydają się całkowicie autentyczne — nawet jeśli przechodzą kontrole SPF, DKIM i DMARC.

Spis treści

To nie jest phishing z prymitywnymi błędami ortograficznymi lub podejrzanymi linkami. To phishing 2.0 — i jest niebezpiecznie przekonujący.

Analiza ataku: jak hakerzy podszywali się pod samego Google

Ta kampania zaczyna się od przerażająco realistycznego e-maila od „brak-odpowiedzi@google.com.” Wiadomość twierdzi, że jest to powiadomienie o wezwaniu sądowym dotyczące rzekomej sprawy sądowej z udziałem odbiorcy. E-mail wzywa czytelnika do kliknięcia łącza, aby wyświetlić „dowody” lub „dokumenty” związane z wezwaniem sądowym.

Ale tu zaczyna się robić nieciekawie: link prowadzi do strona hostowana w Google Sites. Projekt jest przekonujący. Układ naśladuje oficjalne interfejsy pomocy technicznej Google. Nie ma żadnych rażących czerwonych flag — żadnych błędów ortograficznych, żadnego dziwnego formatowania. Wygląda realistycznie.

Na tej stronie znajdują się przyciski akcji, takie jak „Wyświetl sprawę” lub „Prześlij dokumenty”. Kliknięcie ich przenosi użytkownika do fałszywa strona logowania do konta Google, również hostowane w środowisku Google Sites. Formularz wygląda identycznie jak prawdziwy ekran logowania Google. Jednak wpisanie tutaj swoich danych uwierzytelniających nie powoduje zalogowania do niczego — po prostu wysyła Twoją nazwę użytkownika i hasło bezpośrednio do bazy danych hakera.

Mistrzowski ruch: nadużycie powtórki DKIM

Chociaż umieszczanie stron phishingowych w legalnych domenach jest samo w sobie czymś złym, prawdziwy geniusz tej kampanii polega na jej wykorzystaniu Ataki powtórkowe DKIM — technika, której nawet doświadczeni specjaliści ds. bezpieczeństwa mogą nie doceniać.

Oto jak to działa:

  1. Napastnicy tworzą złośliwą aplikację Google OAuth z polem nazwy zawierającym pełną treść wiadomości phishingowej.
  2. Gdy systemy Google wysyłają e-mail z ostrzeżeniem, aby powiadomić właściciela konta o nowej aplikacji OAuth, wiadomość zawiera nazwę aplikacji, co skutecznie osadza treść phishingową w legalnym e-mailu Google.
  3. Ten e-mail jest podpisany kryptograficznie przez Google Klucz DKIM, potwierdzając jego autentyczność.
  4. Następnie atakujący wysłać ponownie że e-mail korzysta z zewnętrznego serwera pocztowego. Ponieważ oryginalny podpis DKIM jest nadal ważny, filtry antyspamowe i systemy bezpieczeństwa akceptują go bez wahania.

Wynik? E-mail, który przechodzi wszystkie kontrole weryfikacyjne i wydaje się pochodzić bezpośrednio od Google — ponieważ technicznie rzecz biorąc, tak jest. Właśnie został ponownie wykorzystany i odtworzony za złe intencje.

Dlaczego to działa: zaufanie, infrastruktura i złożoność

Większość wiadomości phishingowych jest zatrzymywana na bramkach, ponieważ pochodzą z podejrzanych domen, nie przechodzą kontroli uwierzytelniania lub zawierają rażące wady projektowe. Ta kampania omija to wszystko, wykorzystując jako broń:

  • Zaufana domena Google (sites.google.com)
  • Wiadomości podpisane protokołem DKIM firmy Google
  • Legalna infrastruktura poczty e-mail
  • Zachowanie automatycznego powiadamiania OAuth

Połączenie tych elementów tworzy atak, który nie tylko wygląda na legalny, ale także wydaje się uzasadnione dla przeciętnego użytkownika.

To nie jest przypadek, gdy ktoś daje się nabrać na źle napisany e-mail. To exploit wykorzystujący systemy, które mają to robić. chroń nas.

Odpowiedź Google: łatanie niewidzialnej dziury

Google odpowiedziało na kampanię, usuwając nadużywane aplikacje OAuth i blokując dostęp do stron phishingowych. Firma przypomniała użytkownikom, że nigdy nie proś o hasła, kody dwuskładnikowe ani poufne dokumenty za pośrednictwem niechcianej poczty e-mail.

Ponadto Google ogłosiło plany ograniczyć zakres treści wiadomości e-mail, które można odtworzyć za pomocą DKIMi sprawdza sposób osadzania treści powiadomień w alertach OAuth, aby zapobiec podobnym nadużyciom.

Mimo to wyzwanie pozostaje. Google nie może po prostu zamknąć własnej infrastruktury — musi zachować równowagę między otwartość dla deweloperów oraz bezpieczeństwo dla użytkowników.

Szerszy obraz: co to dla Ciebie oznacza

Ta kampania podkreśla szerszy problem: phishing ewoluował. Nie chodzi już o oszukiwanie ludzi literówkami i podejrzanymi linkami — chodzi o manipulowanie zaufaniem, infrastrukturą i złożonością.

Nawet wiadomości e-mail, które przeszły wszystkie protokoły weryfikacyjne, mogą nie być już bezpieczne.

Co mogą zrobić jednostki?

  • Nigdy nie ufaj wiadomości e-mail tylko dlatego, że przeszła test DMARC, SPF lub DKIM.
  • Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości, które wymagają pilnego działania, zwłaszcza tych, które dotyczą kwestii prawnych lub finansowych.
  • Unikaj klikania linków w niechcianych wiadomościach e-mail. W razie wątpliwości przejdź bezpośrednio do źródła, wpisując adres URL ręcznie.
  • Włącz uwierzytelnianie dwuskładnikowe (2FA) or klucze dostępu dla wszystkich kont krytycznych.
  • Dokładnie sprawdź adresy URL. Nawet jeśli witryna wygląda na legalną, upewnij się, że jest rzeczywistą domeną dostawcy (np. accounts.google.com, Nie sites.google.com/fake-support).

Dla organizacji: Nowy paradygmat bezpieczeństwa

Firmy muszą teraz dostosować swoje protokoły e-mail i cyberbezpieczeństwa, aby uwzględnić te zaawansowane zagrożenia. Poleganie wyłącznie na tradycyjnych filtrach e-mail lub uwierzytelnianiu opartym na domenie nie jest już wystarczające.

Oto kluczowe strategie organizacyjne:

  • Wdrażanie narzędzi do analizy behawioralnej monitorujące nietypowe próby logowania lub logowania z nowych urządzeń.
  • Regularnie edukuj pracowników o nowych taktykach phishingu i przeprowadzać symulowane ćwiczenia phishingu.
  • Wdróż bramki zabezpieczające pocztę e-mail które potrafią wykrywać wskazówki kontekstowe — takie jak niezgodne zachowanie nadawcy/odbiorcy lub nietypowe żądania OAuth.
  • Przejrzyj i ogranicz korzystanie z Witryn Google i innych usług w chmurze wewnętrzniezwłaszcza jeśli pracownicy nie są świadomi ryzyka, jakie stwarzają w przypadku niewłaściwego użycia.

Wnioski: Era doskonałego phishingu

Ten atak nie polegał tylko na podszywaniu się pod markę — uzbroił samą infrastrukturę markiWykorzystując te same systemy, które zostały zaprojektowane w celu zapewnienia autentyczności wiadomości e-mail, atakujący dostarczali wiadomości, które były nie tylko przekonujące, ale praktycznie niewykrywalne.

Wkraczamy teraz w erę phishingu, w której granice między legalną a złośliwą komunikacją niebezpiecznie się zacierają. Jeśli kiedyś Internet nauczył nas szukać zepsutego angielskiego i podejrzanych domen, teraz musi nas nauczyć szukać głębiej — w kontekście, zachowaniu, a nawet platformach, którym myśleliśmy, że możemy zaufać.

W tym nowym świecie bezpieczeństwo nie polega na perfekcji. Chodzi o Stała czujność.

Przejęcie Google–Wiz – najnowsze wiadomości i wpływ na cyberbezpieczeństwo
Klinika cyberbezpieczeństwa UHMC dla małych firm – najnowsze wiadomości i wpływ na cyberbezpieczeństwo
Incydent cyberbezpieczeństwa Telus – najnowsze wiadomości i wpływ na cyberbezpieczeństwo
Cyfrowa linia życia: dlaczego rok 2026 to rok, w którym cyberbezpieczeństwo w służbie zdrowia stało się krytyczne
Zero Trust: Jak pomysł na bezpieczeństwo stał się projektem
OZNACZONE:
Udostępnij ten artykuł
Poprzedni artykuł Crowq Utils Sol PUA
Następny artykuł e-mail phishingowy Rt6.lol Oszustwo Robux
Zostaw komentarz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeskanuj swój system w poszukiwaniu złośliwego oprogramowania

Nie pozostawiaj swojego systemu bez ochrony. Pobierz SpyHunter dziś za darmo i przeskanuj swoje urządzenie pod kątem złośliwego oprogramowania, oszustw lub innych potencjalnych zagrożeń. Zachowaj ochronę!

Pobierz SpyHunter 5
✅ Dostępne bezpłatne skanowanie • ⭐ Natychmiastowe wykrywanie złośliwego oprogramowania

WARUNKI I USŁUGI