Používatelia Gmailu, POZOR! Tento e-mail od „no-reply(@)google.com“ ti môže ukradnúť účet. Ide o mimoriadne premyslený podvod
Podvodníci zneužívajú infraštruktúru Googlu na vytváranie dôveryhodne vyzerajúcich e-mailov z adresy no-reply(@)google.com, aby ti ukradli prihlasovacie údaje k tvojmu Gmail účtu.
Natrafiť dnes na online podvod nebolo nikdy jednoduchšie. Nielenže nám podvodníci neustále posielajú falošné e-maily či telefonujú, ale často môžeme naraziť aj na webové stránky, ktoré na prvý pohľad vyzerajú úplne rovnako ako oficiálne stránky známych služieb.
Nedávno sme napríklad upozorňovali na to, že útočníci kradnú používateľom účty WhatsApp, a keď sa im to podarí, začnú kontaktovať ich známych so žiadosťami o pôžičky. Dnes ti dávame do pozornosti ďalší nebezpečný podvod, ktorý patrí do kategórie mimoriadne presvedčivých. Zneužíva totiž infraštruktúru samotnej spoločnosti Google. Na tento podvod ako prvý verejne upozornil Nick Johnson, zakladateľ projektu Ethereum Name Service (ENS).
Pozor, tento Gmail podvod je neskutočne presvedčivý
Celý trik začína tým, že si útočník vytvorí Google účet a k nemu takzvanú OAuth aplikáciu. Táto aplikácia sa bežne používa na to, aby sa dalo prihlásiť do rôznych služieb pomocou Google účtu. V tomto prípade ju však útočník zneužije a do jej nastavení vloží text, ktorý vyzerá ako legitímne bezpečnostné upozornenie, napríklad: „Google Legal Support bol udelený prístup k vášmu účtu“.
Aby tento podvodný text nebolo hneď vidieť, útočník pred neho vloží veľké množstvo prázdnych riadkov, teda voľného miesta, ktoré sa na prvý pohľad v e-maile nezobrazí. Výsledkom je správa, ktorá navonok pôsobí neškodne. Cieľom tohto triku je znížiť šancu, že si používateľ všimne podozrivý obsah nižšie v správe, a zároveň obísť automatické filtre e-mailových služieb, ktoré často kontrolujú len začiatok textu.
Následne útočník udelí svojej vlastnej aplikácii prístup k svojmu Google účtu. A práve vtedy Googl, ako pri každom bežnom povolení, automaticky odošle bezpečnostný e-mail s informáciou o udelení prístupu. Tento e-mail je naozaj odoslaný priamo z adresy no-reply@google.com a je podpísaný digitálnym certifikátom Googlu (tzv. DKIM podpis), vďaka čomu ho Gmail vyhodnotí ako dôveryhodný.
Neprehliadni
Tento autentický e-mail útočník následne prepošle na adresu svojej obete. Keďže e-mail bol pôvodne vygenerovaný samotným Googlom, obsahuje platný DKIM podpis, ktorý overuje pravosť obsahu správy (napríklad textu a hlavičiek). Tento podpis sa však nevzťahuje na technickú „obálku“ e-mailu, teda na informáciu o tom, kto ho ďalej preposlal. Vďaka tomu môže útočník správu poslať obeti zo svojej adresy a e-mail sa aj tak bude v schránke javiť ako dôveryhodný, ako keby prišiel priamo od Googlu.
Po otvorení e-mailu môže byť používateľ vyzvaný, aby klikol na odkaz, ktorý vedie na stránku vytvorenú v službe sites.google.com. Táto stránka pôsobí ako oficiálny portál podpory Googlu a môže obsahovať tlačidlá ako „Upload additional documents“ alebo „View case“. Po kliknutí na ne je používateľ presmerovaný na falošnú prihlasovaciu stránku, ktorá dokonale kopíruje tú skutočnú od Googlu.
Ak používateľ zadá svoje prihlasovacie údaje, tie sa okamžite dostanú do rúk útočníka. Ten ich môže použiť na prihlásenie sa do skutočného Google účtu obete. Cieľom tohto sofistikovaného podvodu je teda získať prihlasovacie údaje prostredníctvom dôveryhodne vyzerajúceho e-mailu, ktorý bol síce vytvorený útočníkom, ale odoslaný priamo Googlom.
Komentáre