Nick Johnson, desenvolvedor principal Ethereum Name Service (ENS), alertou os usuários de criptomoedas sobre uma nova forma de golpe de phishing envolvendo a infraestrutura do Google. Em uma publicação no X, Johnson explicou como os golpistas exploram uma vulnerabilidade na infraestrutura do Google.
Segundo Johnson , golpistas podem enviar e-mails legítimos informando aos usuários que uma intimação foi emitida contra o Google para que forneçam informações de suas contas. Esse alerta de segurança, que parece completamente real, pede ao usuário que conteste a intimação ou examine os documentos do processo.
Ele disse:
“A primeira coisa a observar é que este é um e-mail válido e assinado – ele realmente foi enviado de [email protected] . Ele passa na verificação de assinatura DKIM e o Gmail o exibe sem nenhum aviso – inclusive o coloca na mesma conversa que outros alertas de segurança legítimos.”
Assim que os usuários clicam no link do e-mail, eles precisam se cadastrar na suposta página de suporte. No entanto, o portal de suporte tem o domínio sites.google.com como URL, uma estratégia para enganar os usuários e fazê-los acreditar que é legítimo. De acordo com Johnson, essa página de suporte falsa provavelmente é um site de phishing onde golpistas coletam asdentde login dos usuários.
O desenvolvedor do ENS observou que a vulnerabilidade provavelmente persistirá, especialmente porque o Google se recusou a tomar providências. Portanto, é importante que os usuários estejam cientes e se protejam.
Golpistas estão explorando o Google Sites para criar páginas de suporte falsas
Enquanto isso, Johnson explicou como pessoas mal-intencionadas criaram páginas falsas de suporte do Google que pareciam reais. Segundo ele, sites.google.com é um produto antigo da gigante da tecnologia que permite aos usuários hospedar seu conteúdo no subdomínio Google.com.
Ele observou que o produto permite scripts e incorporações, que é como os golpistas conseguem criar sites de coleta dedentno subdomínio do Google e fazer upload de novos sempre que a equipe do Google remove as versões mais antigas.
Johnson disse:
"O Google percebeu há muito tempo que hospedar conteúdo público e especificado pelo usuário no google.com é uma má ideia, mas o Google Sites continuou existindo."
No entanto, ele observou que a única solução para esse problema é o Google desativar scripts e incorporações arbitrárias em seus sites, pois isso transforma o produto em uma poderosa ferramenta de phishing para golpistas.
Relatar erro ao Google
Curiosamente, os golpistas estão gerando o falso e-mail de alerta de segurança explorando uma falha no Gmail. Em sua análise do e-mail, Johnson apontou indícios como o cabeçalho mostrando que foi enviado por “privateemail.com”, o destinatário sendo 'me@blah' e o espaço em branco abaixo da mensagem de phishing.
Segundo ele, os golpistas fizeram isso criando uma conta do Google para Me@domain. Depois disso, criaram um aplicativo OAuth do Google usando o texto do e-mail de phishing, espaços em branco e “Suporte Jurídico do Google” como nome do aplicativo.
Após fazerem isso, concederam ao aplicativo OAuth acesso à sua conta do Google 'me@…', permitindo que gerassem a mensagem de alerta de segurança do Google para o e-mail me@. Em seguida, encaminharam esse alerta de segurança para todos os alvos potenciais.
Como o e-mail de alerta de segurança original foi gerado pelo Google, ele foi assinado com uma chave DKIM válida, passou por todas as verificações de segurança e apareceu como uma mensagem legítima na caixa de entrada do usuário.
No entanto, Johnson afirmou ter enviado um relatório sobre o bug ao Google, mas a gigante da tecnologia decidiu não dar seguimento ao problema. Em vez disso, a equipe de segurança do Google encerrou o relatório, observando que o recurso está "funcionando conforme o esperado", o que significa que não o consideraram um bug.
Entretanto, o relatório sobre golpistas de phishing que exploram vulnerabilidades do Google para roubar informações de usuários destaca as múltiplas ameaças enfrentadas por usuários de criptomoedas. Há poucos dias, especialistas em segurança afirmaram que hackers estão usando o malware InfoStealers para roubardentde usuários em navegadores.
