Недавно пользователь поделился информацией о том, что стал мишенью чрезвычайно изощренной фишинговой атаки. Злоумышленники используют уязвимость в инфраструктуре Google.
Это действительно подписанное электронное письмо - оно действительно было отправлено с no-reply@google.com. Он проходит проверку подписи DKIM, и GMail отображает его без каких-либо предупреждений - другими словами, от оригинала не отличить.
Ссылка на sites.google.com перенаправляет на очень убедительную страницу «портал поддержки». Злоумышленники ловко использовали sites.google.com потому что они знают, люди увидят домен google.com и подумают, что это реальный адрес.
Нажатие на «Загрузить дополнительные документы» или «Просмотреть» приводит на страницу входа - опять же точный дубликат страницы, единственный намек, что это фишинг, это то, что он размещен на sites.google.com вместо account.google.com
Оттуда, предположительно, они собирают учетные данные для входа и используют их для компрометации учетной записи.
Вот как это работает: злоумышленники регистрируют домен и создают учетную запись Google для 'me@domain'.
Затем они создают приложение Google OAuth. Название приложения *весть текст фишингового письма* за которым следует много белого пространства и "Google Legal Support".
Далее они предоставляют OAuth-приложению доступ к учетной записи гугл 'me@...'. Гугл автоматически генерирует сообщение «Предупреждение безопасности» от Google, отправленное на адрес электронной почты «me@...». После того, как Гугл сгенерировал электронную почту, он подписал письмо действительным ключом DKIM и теперь пропускает все проверки.
А далее массовая фишинговая рассылка. Поскольку DKIM проверяет только сообщение и его заголовки, сообщение проходит проверку подписи и отображается как нормальное сообщение в почтовом ящике пользователя - совсем не отличимое от настоящих оповещений безопасности.
Поскольку злоумышленники назвали свою учетную запись Google «me@», GMail показывает, что сообщение было отправлено «мне» в верхней части, что является сокращением, которое использует Гугл, когда сообщение адресовано вашему адресу электронной почты.
Пользователь, поделившийся этой информацией, сообщил что он отправил отчет об ошибках в Google по этому поводу, но к сожалению, они закрыли и объяснили, что они не считают это ошибкой безопасности.