Корпорация Google информирует около 1,8 миллиарда пользователей сервиса Gmail о масштабной фишинговой атаке. Злоумышленники используют поддельные электронные письма, которые имитируют официальные уведомления от Google. Эти письма проходят проверку DKIM (DomainKeys Identified Mail), что затрудняет их идентификацию как вредоносных. В сообщениях содержатся угрозы блокировки аккаунтов и требования предоставить учётные данные под предлогом судебных разбирательств. При переходе по вредоносным ссылкам пользователи перенаправляются на точные копии официальных страниц поддержки Google, где злоумышленники собирают конфиденциальную информацию.
Впервые об атаке сообщил разработчик Ethereum Ник Джонсон. Он обратил внимание на подозрительный домен, на котором была размещена фишинговая страница (sites.google.com вместо accounts.google.com). Злоумышленники использовали уязвимость в системах Google OAuth и DKIM, что позволило им подделывать электронные письма с адреса no-reply@google.com, делая их максимально правдоподобными.
Google оперативно приняла меры по нейтрализации механизма атаки. Компания рекомендовала пользователям включить двухфакторную аутентификацию, использовать сложные пароли и регулярно обновлять настройки безопасности. Google подчеркнул, что никогда не требует пароли, одноразовые коды, подтверждения или другую конфиденциальную информацию через электронную почту или телефонные звонки. Владельцы аккаунтов, подвергшихся атаке, имеют семидневный срок для восстановления доступа, при условии своевременного использования резервного номера телефона или адреса электронной почты для подтверждения личности.