/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F3f92fbf7002f95288225faf137e58ad2.jpg)
Шахраї використали справжній телефон та субдомени Google у спробі викрасти дані
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F48459e6e9e6a5b538c1148dd8757cc7a.png)
Програміст та засновник спільноти Hack Club Зак Латта повідомив про спробу викрадення облікового запису з використанням справжніх даних Google.
Шахраям вдалося зателефонувати жертві з номера телефону Google, який вказаний на офіційному сайті підтримки, а потім надіслати електронний лист з офіційного субдомену. Незрозуміло, як зловмисники могли отримати доступ до даних Google.
Жінка, котра представилася як Хлоя, зателефонувала Латті з номера 650-203-0000 з ідентифікатором абонента «Google». Як йдеться на сторінці підтримки, Google Assistant використовує цей номер для автоматичних дзвінків, наприклад для призначення бронювань або перевірки часу очікування в ресторані.
«Вона розмовляла як справжній інженер, зв’язок був надзвичайно чітким, і в неї був американський акцент», — каже програміст.
Шахраї, видаючи себе за службу підтримки Google Workspace, попередили, що вони заблокували обліковий запис Латти, оскільки хтось увійшов у нього із Франкфурта. Чоловік одразу запідозрив, що це спроба шахрайства. Він попросив підтвердження електронною поштою.
На подив, хакери відповіли «так» і надіслали електронний лист зі справжнього субдомену g.co, який належить Google. Повідомлення електронної пошти, яке неможливо відрізнити від справжнього, не містило жодних ознак спуфінгу, воно пройшло DKIM, SPF і DMARC (протоколи автентифікації електронної пошти, які перевіряють електронну пошту на спуфінг та фішингові атаки). Згідно з Google, g.co є офіційним субдоменом, призначеним «тільки для вебсайтів Google».
«Ви можете бути впевнені, що він завжди переведе вас до продукту чи послуги Google», — йдеться на сторінці домену.
Шахраї пояснили, що обліковий запис, ймовірно, було зламано через розширення Chrome. Вони підготували шахрайські облікові записи LinkedIn як доказ того, що вони працюють в Google. «Хлоя» намагалася змусити жертву надати один із трьох номерів, які з’явилися на його телефоні, щоб скинути його обліковий запис і отримати доступ до нього.
«Безумство полягає в тому, що якби я дотримувався двох «найкращих практик»: підтвердити номер телефону + змусити їх надіслати вам електронний лист із законного домену, я був би скомпрометований», — пише Латта.
Зак Латта опублікував усі докази та записав розмову після того, як переконався, що це шахрайство. Google поки публічно не прокоментував цей випадок, сайт Cybernews звернулися до компанії за коментарем.
Незрозуміло, як шахраї могли отримати доступ до важливих функцій та субдоменів Google. Коментатори припускають, що зловмисники могли отримати дані якогось облікового запису Google, які частково дають їм доступ до функцій, але вони все ще потребують обходу багатофакторної автентифікації, щоб перехоплювати облікові записи.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F81%2F76b32fdde20e4464531586cf2b66ef7a)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F5b42fff82bab9d21ca3afa7d3e6cbbec.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fee1dcd43fb61a3ba8a5744a947884669.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fb0eedeaaf2ae7b53344155fba2a4729d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F74%2F4d3854601298b8c5dd22389d04f01706)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F33ed0ddd82ee0f85d5d400e35f3d111d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F30%2Fc5720a3c2696a9d928489a2861f062a4)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F80a8356702fefa3402ff262bc370527e.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fd439f7760c608d16b3c67b03b19af474.jpg)