بنیانگذار ENS از جعل گوگل برای فریب کاربران با احضار جعلی هشدار میدهد
بنیانگذار و توسعهدهنده اصلی خدمات نام اتریوم (ENS) به دنبالکنندگان خود در X درباره حمله فیشینگ «بسیار پیشرفته» هشدار داده است که میتواند با جعل گوگل، کاربران را فریب داده و آنها را به افشای اطلاعات ورودشان وادارد. این حمله با بهرهبرداری از زیرساختهای گوگل، یک هشدار جعلی به کاربران ارسال میکند و اعلام میکند که دادههای گوگل آنان به دلیل صدور یک احضار به مراجع قانونی ارسال شده است، طبق اظهارنظر نیک جانسون از ENS در پست ۱۶ آوریل.
جانسون افزود: «پیام از آزمون امضای DKIM عبور میکند و جیمیل آن را بدون هیچ گونه هشدار نمایش میدهد — حتی آن را در همان گفتوگوی هشدارهای امنیتی قانونی قرار میدهد.»
در چارچوب این حمله، کاربران این امکان را دارند که با کلیک بر روی لینکی در صفحه پشتیبانی، مواد پرونده را مشاهده کرده یا نسبت به آن اعتراض کنند. این صفحه پشتیبانی از Google Sites استفاده میکند؛ ابزاری که امکان ساخت وبسایت بر روی یک زیر دامنه متعلق به گوگل را فراهم میآورد. جانسون توضیح میدهد: «ظاهراً از اینجا، اطلاعات ورود شما جمعآوری شده و به منظور دسترسی به حساب کاربریتان استفاده میشوند؛ اگرچه من بررسیهای بیشتری انجام ندادم.»
نام دامنه گوگل وهمی حس مشروعیت به پیام میدهد اما جانسون تاکید میکند که نشانههایی وجود دارد که نشان میدهد این یک کلاهبرداری فیشینگ است؛ از جمله ایمیلی که از یک آدرس خصوصی فوروارد شده است.
در گزارشی در ۱۱ آوریل، شرکت نرمافزاری EasyDMARC توضیح داد که این کلاهبرداری از Google Sites به عنوان سلاح استفاده میکند. هر کسی با داشتن حساب گوگل میتواند سایتی ایجاد کند که ظاهراً مشروع به نظر برسد و در یک دامنه متعلق به گوگل میزبانی شود. همچنین آنها از برنامه Google OAuth استفاده میکنند که در آن «ترفند اصلی این است که شما میتوانید هر متنی را در قسمت نام برنامه وارد کنید» و از دامنهای از طریق Namecheap بهره میبرند که اجازه میدهد آدرس فرستنده به صورت no-reply@google و آدرس پاسخ به شکل دلخواه باشد.
جانسون توضیح داد: «سرانجام، پیام به قربانیان فوروارد میشود. از آنجایی که DKIM تنها پیام و سرصفحههای آن را بررسی میکند و نه پاکت ایمیل، پیام اعتبارسنجی امضا را عبور داده و به عنوان پیام مشروع در صندوق ورودی کاربر نمایش داده میشود — حتی در همان رشته با هشدارهای امنیتی واقعی.»
در مصاحبه با Cointelegraph، ویستاندر گوگل اعلام کرد که این موضوع را درک کرده و در حال بستن شیوهای هستند که مهاجمان برای وارد کردن «متن با طول دلخواه» از آن استفاده میکنند تا از این روش حمله جلوگیری شود. ویستاندر افزود: «ما از این نوع حمله هدفمند توسط بازیگران تهدید مانند Rockfoils آگاه هستیم و در هفته گذشته اقدامات حفاظتی را اجرایی کردهایم. به زودی این محافظتها به طور کامل راهاندازی خواهند شد و این مسیر سوءاستفاده قطع خواهد شد.»
ویستاندر همچنین اضافه کرد که گوگل هرگز از کاربران خواسته نمیشود تا هیچ گونه اطلاعات محرمانه مانند رمز عبور، رمز یکبار مصرف یا اعلانهای فشار دریافتی را ارائه دهند و همچنین هیچ تماسی برقرار نمیشود.