Мошенники использовали настоящий телефон и субдомены Google в попытке похитить данные

Программист и основатель сообщества Hack Club Зак Латта сообщил о попытке похищения учетной записи с использованием подлинных данных Гугл.

Мошенникам удалось позвонить жертве с номера телефона Google, который указан на официальном сайте поддержки, а затем отправить электронное письмо с официального субдомена. Непонятно, как злоумышленники могли получить доступ к данным Google.

Женщина, представившаяся как Хлоя, позвонила Латти с номера 650-203-0000 с идентификатором абонента «Google». Как говорится на странице поддержки, Google Assistant использует этот номер для автоматических звонков, например для назначения бронирований или проверки времени ожидания в ресторане.

Мошенники, выдавая себя за службу поддержки Google Workspace, предупредили, что они заблокировали учетную запись Латты, поскольку кто-то вошел в нее из Франкфурта. Мужчина сразу заподозрил, что это попытка мошенничества. Он попросил подтверждения по электронной почте.

На удивление, хакеры ответили «да» и прислали электронное письмо с настоящего субдомена g.co, который принадлежит Google. Сообщение электронной почты, которое невозможно отличить от настоящего, не содержало никаких признаков спуфинга, оно прошло DKIM, SPF и DMARC (протоколы аутентификации электронной почты, которые проверяют электронную почту на спуфинг и фишинговые атаки). Согласно Google, g.co является официальным субдоменом, предназначенным «только для веб-сайтов Google».

Мошенники объяснили, что учетная запись, вероятно, была взломана из-за расширения Chrome. Они подготовили мошеннические учетные записи LinkedIn в качестве доказательства того, что они работают в Google. «Хлоя» пыталась заставить жертву предоставить один из трех номеров, которые появились на его телефоне, чтобы сбросить его учетную запись и получить доступ к ней.

Зак Латта опубликовал все доказательства и записал разговор после того, как убедился, что это мошенничество. Google пока публично не прокомментировал этот случай, сайт Cybernews обратились в компанию за комментарием.

Непонятно, как мошенники могли получить доступ к важным функциям и субдоменам Google. Комментаторы предполагают, что злоумышленники могли получить данные какой-то учетной записи Google, которые частично дают им доступ к функциям, но они все еще нуждаются в обходе многофакторной аутентификации, чтобы перехватывать учетные записи.