Google OAuth используют в фишинг-атаках с повторным воспроизведением DKIM через [email protected]

Хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. При этом оно вело на мошенническую страницу, которая собирала пользовательские данные для входа.

Злоумышленники использовали инфраструктуру Google, чтобы обманом заставить получателей получить доступ к легитимному «порталу поддержки», который запрашивает учётные данные аккаунтов. Мошенническое сообщение приходило с «[email protected]» и проходило метод аутентификации DomainKeys Identified Mail (DKIM).

Ведущий разработчик Ethereum Name Service (ENS) Ник Джонсон получил предупреждение системы безопасности, которое, казалось, исходило от Google. В письме сообщалось о требовании правоохранительных органов предоставить содержимое его учётной записи Google. Однако Джонсон заметил, что поддельный портал поддержки в письме был размещён на sites.google.com — бесплатной платформе Google для создания веб-сайтов, что вызвало подозрения. Этот портал поддержки был «точной копией настоящего», и «единственный намек на фишинг заключался в том, что он размещён на sites.google.com, а не на accounts.google.com», заявил разработчик. 

Тем не менее, само сообщение прошло проверку Google в так называемой фишинговой атаке с повторным воспроизведением DKIM. Если изучить детали письма, то выясняется, что заголовок mailed-by показывает другой адрес, нежели no-reply Google, а получатель — адрес me@ в домене, который выглядит так, будто он управляется Google. Тем не менее, сообщение было подписано и доставлено Google. 

Джонсон решил выяснить, как мошенники реализуют атаку. «Сначала они регистрируют домен и создают учётную запись Google для me@domain. Домен не так важен, но помогает, если [sic] выглядит