Ведущий разработчик Ethereum Name Service (ENS) Ник Джонсон предупредил пользователей криптовалют о новом виде фишинговой аферы, связанной с инфраструктурой Google. В своем сообщении на X Джонсон объяснил, как мошенники используют уязвимость в инфраструктуре Google.
По словам Джонсона , мошенники могут рассылать пользователям действительные электронные письма, сообщающие о том, что Google получил повестку в суд с требованием предоставить информацию из его аккаунта Google. Это предупреждение, которое выглядит совершенно правдоподобно, предлагает пользователю оспорить повестку или ознакомиться с материалами дела.
Он сказал:
«Прежде всего, следует отметить, что это действительно подписанное электронное письмо — оно действительно было отправлено с адреса [email protected] . Оно проходит проверку подписи DKIM, и Gmail отображает его без каких-либо предупреждений — он даже помещает его в ту же переписку, что и другие законные оповещения о безопасности».
После перехода по ссылке в электронном письме пользователям необходимо подписаться на якобы страницу поддержки. Однако в качестве URL-адреса портала поддержки указан sites.google.com — уловка, призванная обмануть пользователей и заставить их поверить в его подлинность. По словам Джонсона, эта поддельная страница поддержки, скорее всего, является фишинговым сайтом, где мошенники собирают учетныеdentпользователей.
Разработчик ENS отметил, что уязвимость, скорее всего, сохранится, особенно учитывая отказ Google принять меры. Поэтому пользователям важно быть осведомленными и защищать себя.
Мошенники используют Google Sites для создания поддельных страниц поддержки
Между тем Джонсон объяснил, как злоумышленники создавали поддельные страницы службы поддержки Google, которые выглядели как настоящие. По его словам, sites.google.com — это устаревший продукт технологического гиганта, позволяющий пользователям размещать свой контент на поддомене Google.com.
Он отметил, что продукт позволяет использовать скрипты и встраивание контента, благодаря чему мошенники могут создавать сайты для сбораdentна поддомене Google и загружать новые всякий раз, когда команда Google удаляет старые версии.
Джонсон сказал:
«Google давно понял, что размещение общедоступного контента, указанного пользователями, на google.com — плохая идея, но Google Sites так и остался»
Однако он отметил, что единственным решением этой проблемы является отключение Google скриптов и произвольных встраиваемых элементов на своих сайтах Google Sites, поскольку это делает продукт мощным инструментом фишинга для мошенников.
Сообщить об ошибке в Google
Интересно, что мошенники создают поддельные электронные письма с предупреждениями о безопасности, используя уязвимость в Gmail. В своем анализе письма Джонсон указал на такие признаки, как заголовок письма, указывающий на то, что оно было отправлено с адреса «privateemail.com», получатель — «me@blah», а также пустое пространство под фишинговым сообщением.
По его словам, мошенники сделали это, создав учетную запись Google для Me@domain. После этого они создали приложение Google OAuth, используя текст из фишингового письма, пробелы и название приложения «Google Legal Support».
После этого они предоставили приложению OAuth доступ к своей учетной записи Google 'me@…', что позволило им сгенерировать сообщение с предупреждением о безопасности от Google на адрес me@email. Они переслали это предупреждение всем потенциальным жертвам.
Поскольку первоначальное электронное письмо с предупреждением о безопасности было сгенерировано компанией Google, оно было подписано действительным ключом DKIM, обошло все проверки безопасности и отобразилось в почтовом ящике пользователя как легитимное сообщение.
Однако Джонсон заявил, что отправил отчет об ошибке в Google, но технологический гигант решил не принимать меры. Вместо этого команда безопасности Google закрыла отчет, отметив, что функция «работает как положено», что означает, что они не сочли это ошибкой.
Между тем, сообщения о фишинговых мошенниках, использующих уязвимости Google для кражи информации пользователей, подчеркивают многочисленные угрозы, с которыми сталкиваются пользователи криптовалют. Всего несколько дней назад эксперты по безопасности утверждали, что хакеры используют вредоносное ПО InfoStealers для кражиdentданных пользователей из браузеров.
