3
Forrás: Wikimedia (cc)
Megosztás
A csalók a Google infrastruktúráját használják ki arra, hogy hitelesnek tűnő e-maileket küldjenek az no-reply(@)google.com címről, melyek célja, hogy megszerezzék a Gmail-fiókhoz tartozó bejelentkezési adatokat.
Manapság nap mint nap találkozhatunk hamis e-mailekkel, hívásokkal, vagy megtévesztő weboldalakkal, melyek első ránézésre szinte teljesen megegyeznek a jól ismert szolgáltatások hivatalos felületeivel.
A Google saját infrastruktúráját felhasználó mostani csalásra elsőként Nick Johnson, az Ethereum Name Service (ENS) alapítója hívta fel a figyelmet – írja a Zoznam.sk Vo svete IT nevű tematikus portálja.
A trükk lényege, hogy a támadó létrehoz egy Google-fiókot, majd ahhoz egy úgynevezett OAuth-alkalmazást. Az ilyen alkalmazások általában arra szolgálnak, hogy a felhasználó más szolgáltatásokba is bejelentkezhessen Google-fiókjával. A támadó viszont ehelyett az alkalmazás beállításai közé hamis, mégis hitelesnek tűnő biztonsági figyelmeztetést ír, például: „A Google Legal Support hozzáférést kapott az Ön fiókjához.”
Hogy ez a megtévesztő üzenet ne látszódjon azonnal, a csaló rengeteg üres sort illeszt elé, amit az e-mail előnézetében a legtöbb felhasználó nem lát. A cél az, hogy az üzenet ártalmatlannak tűnjön, a gyanús tartalom pedig rejtve maradjon – ráadásul így az e-mail-szolgáltatók automatikus szűrői is könnyebben kijátszhatók, mert ezek gyakran csak a levél elejét vizsgálják.
Ezután a támadó saját alkalmazásának engedélyezi a hozzáférést a saját Google-fiókjához. Ekkor a Google – ahogy minden ilyen esetben – automatikusan küld egy biztonsági e-mailt, amelyben értesíti a felhasználót a hozzáférésről. Ez az e-mail valóban a no-reply@google.com címről érkezik, és digitálisan alá van írva (úgynevezett DKIM-aláírással), ezért a Gmail megbízhatónak értékeli.
Ezt a valódi Google-értesítést a csaló továbbítja az áldozatnak. Mivel az üzenet eredetileg a Google-től származik, DKIM-aláírása érvényes, és igazolja a tartalom (szöveg, fejléc) hitelességét. Ez a hitelesítés azonban nem terjed ki az e-mail technikai „borítékára” – azaz arra, hogy ki továbbította az üzenetet. Így a támadó saját címéről küldheti tovább a levelet, amely ettől még a címzett postaládájában megbízhatónak tűnik, mintha valóban közvetlenül a Google-től jött volna.
A levél megnyitása után a felhasználót egy linkre kattintva egy sites.google.com oldalon létrehozott weboldalra irányítják. Ez az oldal a Google hivatalos ügyféltámogatási portálját utánozza, és olyan gombokat tartalmazhat, mint „További dokumentumok feltöltése” vagy „Ügy megtekintése”. Ezekre kattintva a felhasználó egy hamis bejelentkezési oldalra kerül, amely tökéletesen lemásolja az eredeti Google-felületet.
Ha itt megadja bejelentkezési adatait, azok azonnal a támadóhoz kerülnek, aki ezután már hozzá is férhet az áldozat valódi Google-fiókjához.
Ez a kifinomult csalás tehát úgy szerzi meg a bejelentkezési adatokat, hogy a felhasználó egy első ránézésre teljesen hiteles Google-értesítésnek tűnő e-mailre reagál – amelyet ugyan a támadó hozott létre, de a Google küldött ki.
