Фишинговые атаки — явление далеко не новое. Компании вроде Google, Apple и Amazon давно учат пользователей, как распознавать подозрительные письма. Однако уязвимость, о которой рассказал разработчик Ник Джонсон, доказывает: злоумышленники становятся умнее и изобретательнее, и теперь даже стандартные защиты Gmail могут не спасти.
Всё началось с обычного на первый взгляд письма. Ник получил уведомление от, казалось бы, настоящего адреса Google — no-reply@google.com. В письме сообщалось, что в отношении его аккаунта поступила повестка в суд, и ему необходимо предоставить копию содержимого своей учетной записи. Ничего необычного, кроме одного: письмо выглядело абсолютно легитимно. Оно прошло проверку подлинности по технологии DKIM, которая подтверждает, что отправитель действительно тот, за кого себя выдаёт. Более того, письмо автоматически попало в папку входящих уведомлений безопасности Google, что добавляло ему веса.
На первый взгляд всё было в порядке. Но когда Ник кликнул на ссылку в письме, он заметил что-то странное. Вместо привычного адреса accounts.google.com, куда обычно ведут страницы авторизации Google, ссылка вела на sites.google.com — старую платформу Google, созданную еще до того, как компания начала всерьёз заниматься вопросами безопасности. Именно на этом ресурсе злоумышленники разместили фальшивую страницу входа в Google.
Ник вовремя остановился и не стал вводить свои данные, но позже он подробно разобрал, как именно работала эта атака.
По его словам, схема выглядела так: сначала хакеры создают сайт на старом сервисе sites.gооgle.cоm. Этот ресурс позволяет размещать практически любой контент, включая произвольные скрипты, а главное — сайт имеет домен google.com, что делает его внешне абсолютно легитимным. Затем злоумышленники регистрируют учетную запись Google на специально купленном домене и создают через OAuth приложение, которое имитирует официальные уведомления от Google. Это приложение генерирует стандартные оповещения безопасности, которые Google автоматически подписывает и пропускает через свою инфраструктуру. Так у жертвы появляется перед глазами письмо, которое по всем техническим признакам является настоящим.
Всё сделано настолько тонко, что даже опытный пользователь может не заметить подвоха. Главное отличие только в URL страницы авторизации, на которое мало кто обращает внимание в стрессе или спешке.
Когда Ник сообщил о проблеме в Google, ему ответили, что всё работает "как положено" и что это не является уязвимостью. Но после публичной огласки компания изменила свою позицию. В официальном комментарии для Newsweek Google подтвердила, что начала развертывание средств защиты от этой категории атак и вскоре полностью перекроет возможность их использования. До тех пор пользователям рекомендуют включить двухфакторную аутентификацию и использовать сложные пароли.
Для нас в StopPhish, компании, которая учит сотрудников защищать себя от фишинга, эта история стала ещё одним напоминанием: фишинг — это уже не просто грубые подделки с ошибками в тексте и странными адресами отправителей. Сегодня атака может выглядеть как официальное письмо от Google, пройти все проверки безопасности и попасть прямо в почтовый ящик вашей компании. И в такой ситуации последняя линия обороны — это знания и внимательность самих сотрудников. Мы продолжаем учить людей видеть невидимое: замечать не очевидные, а глубокие признаки обмана.
В современном мире настоящая безопасность начинается не с фильтров, а с правильных вопросов: почему я получил это письмо? Куда ведет ссылка? Кому я доверяю свои данные? Эти простые навыки — главное, что стоит между безопасностью компании и хитроумной атакой.
Источник: Оскар Гонсалес, Laptop Mag