Сајбер криминалци све су вештији у свом послу и све их је теже препознати. У посљедњем покушају да преваре кориснике и дођу до њихових личних и финансијских података, криминалци су одлучили представити се као - Гугл.
Тачније, корисници широм свијета почели су у своје Џи-мејл електронске сандучиће примати поруку која изгледа попут сигурносног упозорења од Гугла. Како је на платформи X објавио програмер Ник Џонсон, у поруци се наводи да је "Гугл достављен судски позив у којем се од њих тражи да направе копију садржаја Гугл рачуна" примаоца.
У поруци која изгледа изузетно уверљиво, наводи се како прималац (у овом случају Џонсон), може провјерити појединости или уложити жалбу следећи везу на Гуглову страницу за подршку.
Кад је Џонсон покушао провјерити поруку, све је изгледало легитимно. Поруку је потписао Гугл, стигла је с адресе која је прошла провјере аутентичности које користи сам Џи-мејл (ради се о DomainKeys Identified Mail провјери) и сврстана је у примарни инбокс, у који иначе долазе обавести намијењене директно приматељу.
Чак је и клик на понуђену повезницу у поруци дјеловао легитимно - савршени клон Гуглове странице за жалбе. Уз једну малу, али важну разлику коју већина корисника, чак и оних који помно провјеравају потенцијалне лажне поруке, тешко може примијетити.
Наиме, повезница из спорне поруке води на страницу на домени "sites.google.com", што је Гуглова домена, али била намјењена комерцијалним страницама и корисницима који су жељели имати своју веб страницу на Гугл домену. Та њихова услуга више није доступна, али странице с том доменом и даље постоје. "Права" домена коју Гугл користи за све везано уз корисничке рачуне је "accounts.google.com".
Лажна порука која је преварила Џи-мејл?
Како је онда таква порука преварила Џи-мејл и све његове саставе провјере? Заправо, превара је изведена веома интелигентно.
Гугл од 1. априла 2024. године проводи провјеру усклађености пошиљаоца масовне е-поште с провером аутентичности пошиљаоца. У преводу, састав провјерава је ли пошиљалац заиста онај за којег се издаје. Како би читав састав функционисао, Џи-мејл користи три корака - DomainKeys Mail, провјеру домена с које се шаље те провјеру самог пошиљаоца.
Састав је требао корисницима Џи-мејла дати осјећај сигурности да ће филтери зауставити сваку поруку које није послата с адресе легитимног пошиљаоца. То је била добра замисао, али како овај посљедњи случај показује - злонамерни играчи пронашли су пукотине у том саставу.
Објашњавајући да је напад на е-пошта искористила апликацију OAuth у комбинацији с креативним заобилазним рјешењем за заобилажење врста заштитних мјера намијењених заштити од ове врсте покушаја крађе идентитета, Мелиса Бисчопинг, шеф сигурносних истраживања у Таниуму за Форбс је упозорила да "иако су неке компоненте овог напада нове – и њима се Гугл позабавио – напади који користе поуздане пословне услуге и услужне програме нису ништа ново".
Гугл је већ реаговао
Џонсон је на платформи X објавио како је пријавио ову, како назива "грешку" Гуглу и они су у приватном одговору рекли како све функционише како би требало. Но, накнадно је извијестио како су га из Гугла обавијестили како ће ипак исправити "погрешку".
(Курир)
