Ник Джонсон, известный инженер Ethereum Name Service (ENS), раскрыл хитрую фишинговую кампанию, которая воспользовалась уязвимыми местами в инфраструктуре Google, в частности, недавно исправленной уязвимостью OAuth.
Ведущий разработчик ENS раскрывает уязвимость, позволяющую фишерам подделывать официальные оповещения Google
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Охрана Google ослабла: Инженер ENS отслеживает фишинговую атаку
Схема, по словам Джонсона в его свидетельстве, началась с убедительного письма, якобы отправленного официальным уведомлением Google, которое предупреждало об ордере, требующем данные аккаунта. Подписанное настоящим ключом DKIM и исходящее из официального домена Google no-reply, уведомление обошло фильтры Gmail и оказалось среди легитимных предупреждений.
Джонсон отметил, что ее достоверность дополнительно повысилось благодаря ссылке на sites.google.com, ведущей к поддельному порталу поддержки, который имитировал страницу входа в Google. Разработчик указал, что уловка опиралась на два пробела: терпимость Google Sites к произвольным скриптам, которая позволила преступникам создавать страницы для сбора учетных данных, и уязвимость OAuth.
Атакующие зарегистрировали новый домен, открыли аккаунт в Google и создали OAuth-приложение, название которого дублировало заголовок фишингового письма. Как только жертва предоставляла доступ, Google автоматически генерировала электронное письмо с уведомлением о безопасности — полностью подписанное и легитимное — которое атакующие затем передавали своей добыче.
Джонсон подверг критике Google за то, что они сначала отвергли уязвимость как “работающую в соответствии с намерением”, утверждая, что этот пробел представляет серьезную угрозу. Зависимость от sites.google.com дополнительно вводила пользователей в заблуждение, поскольку доверенный домен скрывал враждебные намерения. Слабости в системе отчетности о злоупотреблениях Google для сайтов усугубляли проблему, замедляя усилия по устранению.
После того как общественное давление возросло, Google пересмотрела свою позицию и признала проблему. Джонсон позже подтвердил, что технологическая компания планирует исправить дефект OAuth. Этот случай освещает растущую изощренность фишинга, эксплуатирующего уважаемые платформы, чтобы обойти защиту.
Специалисты по безопасности призывают к бдительности, рекомендую пользователям ставить под вопрос внезапные юридические корреспонденции и дважды проверять URL-адреса перед вводом учетных данных. Google еще не выпустила публичное заявление о дефекте или его графике исправлений. Этот случай выявляет более широкую борьбу с фишингом, поскольку противники все чаще вооружаются уважаемыми услугами.
