في هجوم ذكي إلى حد ما ، استفاد المتسللون من ضعف سمح لهم بإرسال بريد إلكتروني مزيف يبدو أنه تم تسليمه من أنظمة Google ، ويمرون بجميع التحقيقات ولكنهم يشيرون إلى صفحة احتيالية جمعت تسجيلات تسجيل الدخول.
استفاد المهاجم من البنية التحتية من Google لخداع المستلمين للوصول إلى “بوابة دعم” مشروعة تطلب بيانات اعتماد حساب Google.
يبدو أن الرسالة الاحتيالية تأتي من “”http://www.bleepingcomputer.com/mailto:no-reply@google.com” الهدف=”_blank”> no-reply@google.com”وتجتاز طريقة مصادقة Mailkeys التي تم تحديدها (DKIM) ولكن المرسل الحقيقي كان مختلفًا.
بريد إلكتروني مزيف مع ختم DKIM من Google
نيك جونسون، تلقى المطور الرئيسي لخدمة الأسماء Ethereum (ENS) ، تنبيهًا أمنيًا يبدو أنه من Google ، وأبلغه بمثابرة من سلطة إنفاذ القانون التي تطلب محتوى حساب Google الخاص به.
بدا كل شيء تقريبًا شرعيًا ، وحتى أن Google وضعته مع تنبيهات أمنية شرعية أخرى ، والتي من المحتمل أن تخدع مستخدمين تقنيين أقل لا يعرفون أين يبحثون عن علامات الاحتيال.
المصدر: نيك جونسون
ومع ذلك ، رصدت عين جونسون الشديدة أن بوابة الدعم المزيفة في البريد الإلكتروني تم استضافتها على المواقع. google.com – منصة بناء الويب المجانية من Google ، والتي أثارت الشكوك.
كونها في مجال Google ، فإن فرص المتلقي في إدراك أنها مستهدفة أقل.
يقول جونسون إن بوابة الدعم المزيفة كانت “مكررة دقيقة من الشيء الحقيقي” و “التلميح الوحيد هو الفاعل هو أنه تم استضافته sites.google.com بدلاً من accounts.google.com.“
المصدر: نيك جونسون
يعتقد المطور أن الغرض من الموقع الاحتيالي هو جمع بيانات الاعتماد لتسوية حساب المستلم.
من السهل توضيح البوابة المزيفة في عملية الاحتيال ، لكن الجزء الذكي يوفر رسالة يبدو أنها اجتاز التحقق من DKIM من Google فيما يسمى هجوم التصوير DKIM Replay.
نظرة فاحصة على تفاصيل البريد الإلكتروني تكشف أن أرسل بالبريد يظهر الرأس عنوانًا مختلفًا عن Google’s لا يوجد رد والمستلم هو أنا@ العنوان في مجال تم صنعه لتبدو وكأنه يديره Google.
ومع ذلك ، تم توقيع الرسالة وتسليمها بواسطة Google.
المصدر: نيك جونسون
وضع جونسون القرائن معًا واكتشف حيل المحتال.
“أولاً ، يقومون بتسجيل مجال ويقومون بإنشاء حساب Google لـ me@domain. [sic] يبدو وكأنه نوع من الأشعة تحت الحمراء. اختيار “أنا” لاسم المستخدم ذكي “، المطور”https://threadreaderapp.com/thread/1912439023982834120.html” الهدف=”_blank” rel=”nofollow noopener”> يشرح.
قام المهاجم بعد ذلك بإنشاء تطبيق Google Oauth ويستخدم لاسمه رسالة التصيد بالكامل. عند نقطة ما ، احتوت الرسالة على الكثير من المساحة البيضاء لجعلها تبدو كما لو أنها انتهت وفصلها عن إشعار Google بالوصول إلى المهاجم أنا@المجال عنوان البريد الإلكتروني.
عندما منح المهاجم وصول تطبيق OAUTH إلى عنوان بريدهم الإلكتروني في مساحة عمل Google ، أرسلت Google تلقائيًا تنبيهًا للأمان إلى صندوق الوارد هذا.
يقول جونسون: “منذ أن قامت Google بإنشاء البريد الإلكتروني ، تم توقيعها باستخدام مفتاح DKIM صالح وتجتاز جميع الشيكات” ، مضيفًا أن الخطوة الأخيرة هي إعادة توجيه تنبيه الأمن إلى الضحايا.
الضعف في أنظمة Google هو أن DKIM يتحقق فقط من الرسالة والرؤوس ، دون الظرف. وبالتالي ، فإن البريد الإلكتروني المزيف يمرر التحقق من صحة التوقيع ويبدو شرعيًا في صندوق الوارد الوارد للمستلم.
علاوة على ذلك ، من خلال تسمية العنوان الاحتيالي أنا@، سيعرض Gmail الرسالة كما لو تم تسليمها إلى عنوان البريد الإلكتروني للضحية.
easydmarc ، وهي شركة مصادقة بريد إلكتروني ، تفصل أيضًا”https://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-technical-breakdown/” الهدف=”_blank” rel=”nofollow noopener”> DKIM Replay Attack Phisplayوصف جونسون وقدم تفسيرات فنية لكل خطوة.
خيار PayPal أساء بنفس الطريقة
تمت تجربة خدعة مماثلة على منصات أخرى غير Google. في مارس ، أ”https://www.bleepingcomputer.com/news/security/beware-paypal-new-address-feature-abused-to-send-phishing-emails/” الهدف=”_blank” rel=”nofollow noopener”> حملة تستهدف مستخدمي PayPal اعتمد على نفس الطريقة ، حيث نشأت الرسائل الاحتيالية من خوادم بريد الشركة المالية واختتمت شيكات الأمان DKIM.
كشفت اختبارات BleepingComputer أن المهاجم استخدم خيار “عنوان الهدية” لربط بريد إلكتروني جديد بحساب PayPal الخاص بهم.
هناك حقلان عند إضافة عنوان جديد ، وملء المهاجم رسالة بريد إلكتروني ولصق رسالة التصيد في الثانية.
ترسل PayPal تلقائيًا تأكيدًا لعنوان المهاجم ، والذي يقوم بإعادة توجيهه إلى قائمة بريدية تنقلها إلى جميع الضحايا المحتملين في المجموعة.
المصدر: BleepingComputer
تواصل BleepingComputer مع PayPal حول هذه القضية ولكن لم يتلق رد.
قدم جونسون أيضًا تقرير الأخطاء إلى Google وكان الرد الأولي للشركة هو أن العملية كانت تعمل على النحو المقصود.
ومع ذلك ، أعادت Google في وقت لاحق النظر في المشكلة ، والتعرف عليها على أنها خطر على مستخدميها ، وتعمل حاليًا على إصلاح ضعف OAUTH.