نوع جدیدی از حمله فیشینگ ، امنیت جیمیل را فریب می دهد. در اینجا نحوه عملکرد آن آورده شده است
حملات فیشینگ به خصوص با Gmail چیز جدیدی نیست. هشدارهای مداوم از طرف شرکتهای ایمیل در مورد آنچه باید هنگام دریافت یک ایمیل عجیب و غریب مراقب باشید وجود دارد.
این هنوز جلوی هکرها را نمی گیرد. برخی از آنها با استفاده از ایمیل هایی که ظاهراً از اپل ، آمازون و فیس بوک است ، حملات فیشینگ دردناک را حفظ می کنند ، اما از دستگیره های ایمیل تصادفی برای ارسال پیام های جعلی استفاده می کنند. با این حال ، برخی دیگر با حملات خود باهوش تر و باهوش تر شده اند ، بنابراین اکنون نزدیک نیست که بگوییم آیا یک ایمیل جعلی است یا خیر.
توسعه دهنده نرم افزار نیک جانسون ایجاد کرد موضوع روی x درباره نوع جدیدی از حمله فیشینگ. وی ایمیلی را از یک مهاجم دریافت کرد که گفت Google با احضاریه به وی ارائه شده است و وی نیاز به تهیه نسخه ای از محتوای حساب Google خود دارد.
ایمیلی مانند این به نظر می رسد با دیدن اینکه چه کسی آن را ارسال کرده است ، به راحتی رد می شود. در این حالت ، ایمیل از یک حساب ایمیل معتبر و امضا شده Google ، no-reply@google.com آمده است. این ایمیل همچنین یک بررسی Mail DomainKeys (DKIM) را که مجدداً تأیید می کند ، تصویب کرد ، و در Gmail ، این ایمیل خود را با سایر هشدارهای امنیتی Google در صندوق ورودی مرتب کرد.
با کلیک بر روی این پیوند ، همچنین به یک صفحه ورود به سیستم Google Legit با تفاوت ظریف که URL “sites.google.com” به جای “Accounts.Google.com” بود ، منجر شد. جانسون بیشتر ادامه نداد زیرا او معتقد بود كه هكرها داده های او را برداشت می كردند.
اخیراً من مورد هدف یک حمله بسیار پیشرفته فیشینگ قرار گرفتم و می خواهم آن را در اینجا برجسته کنم. این از آسیب پذیری در زیرساخت های گوگل بهره می برد و با توجه به امتناع آنها از رفع آن ، ما به احتمال زیاد آن را بسیار بیشتر خواهیم دید. در اینجا ایمیلی که دریافت کردم: pic.twitter.com/tscmxj3um616 آوریل 2025
بنابراین چگونه این هکرها ایمیلی ایجاد کردند که به نظر می رسد یک ایمیل کاملاً معتبر از Google است و یک سایت جعلی ایجاد می کند که هنوز یک وب سایت Google است؟ جانسون با یک تئوری روبرو شد.
اولین کار ایجاد یک سایت با استفاده از یک محصول قدیمی Google بود.
جانسون توییت کرد: “این پورتال جعلی کاملاً ساده است. http://sites.google.com یک محصول میراث از قبل است که Google در مورد امنیت جدی شود ؛ این کار را به کاربران امکان می دهد تا محتوا را در زیر مجموعه http://google.com میزبانی کنند ، و از نظر بسیار مهم از اسکریپت ها و تعبیه های دلخواه پشتیبانی می کند.”
پس از ساخت این صفحه جعلی ، آنها با استفاده از یک دامنه جعلی که ثبت شده است ، یک حساب Google ایجاد می کنند. جانسون از ایمیل “Me@Domain” استفاده کرد.
آنها می توانند یک ایجاد کنند برنامه Google Oauth، که ، برای یک توسعه دهنده آگاه ، می تواند در چند دقیقه انجام شود. این برنامه با تمام فاصله ها و جمله هایی که در یک ایمیل Google یافت می شود ، از جمله خط “پشتیبانی حقوقی Google” در پرونده جانسون ، نام پیام فیشینگ داده شده است.
از اینجا ، آنها در مورد مثال جانسون ، به برنامه OAuth دسترسی به حساب Google که ایجاد کرده اند ، “ME@Domain” را اعطا می کنند. این امر باعث می شود پیام “هشدار امنیتی” از Google ایجاد شود ، که تمام متن فیشینگ در آن وجود دارد. مهاجم سپس آن ایمیل را به قربانی ارسال می کند ، و به نظر می رسد که یک چک DKIM را منتقل می کند ، به نظر می رسد که از یک ایمیل مشروع Google ناشی می شود و پیوندی به سایت جعلی دارد.
ایمیل بسیار پیچیده تر است ، و به نظر من بسیار واضح تر یک مسئله امنیتی از طرف Google است. سرنخ های اول در عنوان ایمیل است: اگرچه توسط https://t.co/kclneqcbqk امضا شده است ، اما توسط https://t.co/enbjvyritf از طریق ایمیل ارسال شده است ، و به “me@blah” pic.twitter.com/bodfdq6pspc6pss ارسال شده است16 آوریل 2025
گوگل روی آن است.
در پایان موضوع خود ، جانسون گفت كه این مسئله را به گوگل ارسال كرد و پاسخ آنها ایده آل نبود.
جانسون گفت: “من یک گزارش اشکال به Google در این باره ارسال کرده ام ؛ متأسفانه آنها آن را به عنوان” کار در نظر گرفته شده “بستند و توضیح دادند که آنها آن را یک اشکال امنیتی نمی دانند. بدیهی است که من مخالفم – اما تا زمانی که آنها نظر خود را تغییر دهند ، در جستجوی هشدارهای امنیتی فریبنده از گوگل هستند.” نوشته شدهبشر
وی بعداً پیام دیگری را منتشر کرد که می گوید این شرکت موضع خود را تغییر داده است.
“اخبار برجسته: گوگل تجدید نظر کرده و اشکال OAUTH را برطرف می کند.” توییت شدهبشر
گوگل تأیید کرد که در حال کار بر روی یک راه حل است نیوزنکبشر
این شرکت گفت: “ما از این طبقه از حمله هدفمند از سوی بازیگر تهدید ، Rockfoils آگاه هستیم و برای هفته گذشته حمایت هایی را انجام داده ایم. این حمایت ها به زودی به طور کامل مستقر می شوند که این خیابان را برای سوءاستفاده خاموش می کند.” نیوزنکبشر “در این میان ، ما کاربران را ترغیب می کنیم تا احراز هویت دو عاملی و پاسگاه ها را اتخاذ کنند ، که در برابر این نوع کمپین های فیشینگ محافظت شدیدی را فراهم می کند.”