Uwaga na podstępne e-maile – oszuści podszywają się pod Google i omijają zabezpieczenia Gmaila. Jak się przed tym bronić?
Deweloper Nick Johnson ujawnił na X, że padł ofiarą wyrafinowanego ataku phishingowego, w którym e-mail na pierwszy rzut oka pochodził od Google’a. Adres nadawcy to [email protected], a sam e-mail był podpisany przez accounts.google.com. Co więcej, Gmail nie wyświetlał żadnych ostrzeżeń. Widząc to, przeciętna osoba w ogóle nie zauważyłaby niczego niepokojącego, bo tak samo podpisywane są inne maile od Google’a.
Czytaj też: Android 16 – data premiery, kompatybilne urządzenia i kluczowe funkcje
Jeśli chodzi o treść, to wiadomość odsyła użytkownika do linku sites.google.com, który prowadził do fałszywej strony wsparcia. Oszuści sprytnie wykorzystali usługę Google Sites, która pozwala na tworzenie własnych stron internetowych, aby uwiarygodnić swoją pułapkę. Kliknięcie przycisków “view case” lub “upload additional documents” miało rzekomo przenosić na fałszywą stronę logowania, również hostowaną na sites.google.com.
Czytaj też: Ważna aktualizacja Androida już dostępna. Te zmiany ucieszą użytkowników
Tutaj pojawia się pytanie – jak to w ogóle możliwe. Odpowiedź jest prosta, oszuści wykorzystali luki w systemie giganta. Johnson je wskazał, apelując do Google o wyłączenie “skryptów i dowolnych osadzeń” na stronach Google Sites. Ponadto zwrócił uwagę na podpisanie maila przez accounts.google.com. Analiza nagłówków ujawniła, że w polu “mailed-by” widniał adres privateemail.com. Jak więc oszustom udało się uzyskać podpis Google?
Jak się okazuje, cyberprzestępcy zarejestrowali domenę i utworzyli konto Google, a następnie stworzyli aplikację Google OAuth i użyli treści maila phishingowego jako nazwy tej aplikacji. Po przyznaniu nowo utworzonemu kontu Google dostępu do tej aplikacji OAuth, gigant wysłał podpisane powiadomienie o zabezpieczeniach. Ta wiadomość była następnie przekazywana ofiarom, tworząc iluzję autentycznej wiadomości do giganta z Mountain View. Początkowo Google uznało zgłoszony błąd za zamierzone działanie, ale po interwencji Johnsona firma zmieniła zdanie i obiecała naprawić tę lukę w uwierzytelnianiu.
Czytaj też: Wielka Brytania inwigiluje obywateli. Powstaje system przewidywania zbrodni
Trzeba przyznać, że ten atak jest szczególnie przekonujący, dlatego warto wielokrotnie weryfikować otrzymywane wiadomości i sprawdzać dokładnie szczegóły, zwłaszcza w sytuacji, gdy e-mail zachęca nas do pobrania załączników lub klikania w linki. W walce z phishingiem najważniejsza jest nasza czujność i zdrowy rozsądek. Oprócz weryfikacji adresów nadawcy i nieklikania w podejrzane linki, trzeba zwracać uwagę na same adresy URL, regularnie aktualizować oprogramowanie naszych urządzeń i najlepiej też mieć włączone uwierzytelnianie dwuskładnikowe, bo wtedy, nawet jeśli oszuści zdobędą nasze hasła i tak nie uzyskają dostępu do konta. Przede wszystkim trzeba też być sceptycznym, bo prawdziwe firmy rzadko proszą w mailach o podawanie poufnych danych.