Даже ИБ-специалисты сначала не поверили, что такое возможно.
Хакеры нашли способ обмануть пользователей, отправляя им письма, которые выглядят так, будто пришли напрямую от Google, хотя на самом деле содержат ссылку на поддельный сайт для кражи данных. Суть атаки заключается в том, что сообщение проходит проверку подлинности DKIM, как если бы оно было действительно отправлено из систем Google, что делает его особенно опасным для получателей.
Жертвы получают якобы официальное уведомление от Google, предупреждающее, например, о запросе данных от правоохранительных органов. Сообщение отправлено с адреса « [email protected] » и сопровождается всеми привычными признаками настоящих уведомлений: подпись DKIM, размещение в той же цепочке писем, что и реальные предупреждения безопасности, и оформление, полностью имитирующее оригинал.
Разработчик Ник Джонсон среди получателей такого письма и заметил подвох. Единственная деталь, вызвавшая у него подозрение, — адрес поддельного «портала поддержки»: вместо accounts.google.com использовался sites.google.com, бесплатная платформа для размещения страниц, что позволило злоумышленникам замаскировать фишинговую копию настоящего интерфейса Google.
Как выяснилось, атакующие использовали механизм под названием DKIM replay. Они создавали учётную запись Google для адреса вида «me@домен», причём домен мог быть любым, главное — чтобы выглядел правдоподобно. Далее создавалось OAuth-приложение с названием, совпадающим с фишинговым сообщением. В текст сообщения добавлялись пробелы, чтобы отделить его от служебных уведомлений Google, и создавалось ощущение, что письмо завершено.
После этого атакующие предоставляли доступ приложению к своей учётной записи, в результате чего Google автоматически отправлял уведомление безопасности. Поскольку отправителем реально выступала система Google, DKIM-подпись подтверждала подлинность, и письмо выглядело как легитимное. Его оставалось лишь переслать жертве. Gmail при этом показывал, что сообщение пришло именно получателю, благодаря трюку с именем ящика me@.
Ключевая проблема заключается в том, что DKIM-подпись проверяет только содержание письма и заголовки, но не «конверт» — информацию о реальном маршруте доставки. Это оставляет лазейку для подобных атак, особенно если отправка происходит с домена, который контролирует сам злоумышленник, но сообщение подписано системой Google.
Подобный механизм ранее уже применялся в атаках на пользователей PayPal. В марте , где хакеры использовали возможность добавить адрес «для подарков» в учётной записи PayPal. В одном поле указывался адрес, а в другом — фишинговое сообщение. PayPal отправлял подтверждение на указанный адрес, а злоумышленники добавляли его в рассылку, распространявшую фейковое уведомление среди потенциальных жертв. DKIM-подпись опять же была подлинной, так как исходила от сервера PayPal.
Компания EasyDMARC опубликовала уязвимости и пошагово описала метод атаки. Хотя изначально Google заявила, что всё работает корректно, позднее признала потенциальную опасность и начала работу над устранением уязвимости в OAuth-процессе.
Подробнее:
Хакеры нашли способ обмануть пользователей, отправляя им письма, которые выглядят так, будто пришли напрямую от Google, хотя на самом деле содержат ссылку на поддельный сайт для кражи данных. Суть атаки заключается в том, что сообщение проходит проверку подлинности DKIM, как если бы оно было действительно отправлено из систем Google, что делает его особенно опасным для получателей.
Жертвы получают якобы официальное уведомление от Google, предупреждающее, например, о запросе данных от правоохранительных органов. Сообщение отправлено с адреса « [email protected] » и сопровождается всеми привычными признаками настоящих уведомлений: подпись DKIM, размещение в той же цепочке писем, что и реальные предупреждения безопасности, и оформление, полностью имитирующее оригинал.
Разработчик Ник Джонсон среди получателей такого письма и заметил подвох. Единственная деталь, вызвавшая у него подозрение, — адрес поддельного «портала поддержки»: вместо accounts.google.com использовался sites.google.com, бесплатная платформа для размещения страниц, что позволило злоумышленникам замаскировать фишинговую копию настоящего интерфейса Google.
Как выяснилось, атакующие использовали механизм под названием DKIM replay. Они создавали учётную запись Google для адреса вида «me@домен», причём домен мог быть любым, главное — чтобы выглядел правдоподобно. Далее создавалось OAuth-приложение с названием, совпадающим с фишинговым сообщением. В текст сообщения добавлялись пробелы, чтобы отделить его от служебных уведомлений Google, и создавалось ощущение, что письмо завершено.
После этого атакующие предоставляли доступ приложению к своей учётной записи, в результате чего Google автоматически отправлял уведомление безопасности. Поскольку отправителем реально выступала система Google, DKIM-подпись подтверждала подлинность, и письмо выглядело как легитимное. Его оставалось лишь переслать жертве. Gmail при этом показывал, что сообщение пришло именно получателю, благодаря трюку с именем ящика me@.
Ключевая проблема заключается в том, что DKIM-подпись проверяет только содержание письма и заголовки, но не «конверт» — информацию о реальном маршруте доставки. Это оставляет лазейку для подобных атак, особенно если отправка происходит с домена, который контролирует сам злоумышленник, но сообщение подписано системой Google.
Подобный механизм ранее уже применялся в атаках на пользователей PayPal. В марте , где хакеры использовали возможность добавить адрес «для подарков» в учётной записи PayPal. В одном поле указывался адрес, а в другом — фишинговое сообщение. PayPal отправлял подтверждение на указанный адрес, а злоумышленники добавляли его в рассылку, распространявшую фейковое уведомление среди потенциальных жертв. DKIM-подпись опять же была подлинной, так как исходила от сервера PayPal.
Компания EasyDMARC опубликовала уязвимости и пошагово описала метод атаки. Хотя изначально Google заявила, что всё работает корректно, позднее признала потенциальную опасность и начала работу над устранением уязвимости в OAuth-процессе.
Подробнее:
