Người sáng lập ENS cảnh báo cộng đồng về lừa đảo phishing tinh vi của Google

Người sáng lập Ethereum Name Service đã phát đi cảnh báo về một vụ lừa đảo phishing rất tinh vi sử dụng cơ sở hạ tầng của Google để đánh lừa người dùng tiết lộ chi tiết đăng nhập của họ.

Người sáng lập và nhà phát triển chính của Ethereum Name Service đã cảnh báo những người theo dõi trên mạng xã hội về một cuộc tấn công phishing 'cực kỳ tinh vi' có khả năng mạo danh Google. Lừa đảo này đánh lừa người dùng tiết lộ thông tin đăng nhập của họ.

Cuộc tấn công phishing lợi dụng cơ sở hạ tầng của Google để gửi cảnh báo giả mạo đến người dùng, tuyên bố rằng dữ liệu Google của họ đang được chia sẻ với cơ quan thực thi pháp luật do một lệnh triệu tập, theo người sáng lập ENS Nick Johnson trong một bài đăng gần đây.

Johnson chỉ ra rằng lừa đảo này vượt qua kiểm tra chữ ký DKIM, và Gmail hiển thị nó mà không có bất kỳ cảnh báo nào, thậm chí tích hợp nó vào cùng một luồng trò chuyện với các cảnh báo bảo mật hợp pháp.

Nạn nhân bị dụ dỗ nhấp vào liên kết trang hỗ trợ, được lưu trữ trên Google Sites, mà Johnson lưu ý là công cụ để xây dựng trang web trên các tên miền phụ của Google. Khi nhấp vào, liên kết này có thể dẫn đến việc đánh cắp thông tin đăng nhập, mặc dù Johnson không điều tra thêm.

Mặc dù sử dụng tên miền của Google để có vẻ hợp pháp, Johnson nhận diện các dấu hiệu rõ ràng của lừa đảo phishing, chẳng hạn như email được chuyển tiếp bởi một địa chỉ email cá nhân.

Kẻ lừa đảo khai thác hệ thống của Google

Một báo cáo từ công ty phần mềm EasyDMARC giải thích cách lừa đảo phishing hoạt động bằng cách khai thác Google Sites. Bất kỳ ai có tài khoản Google đều có thể tạo một trang web có vẻ hợp pháp được lưu trữ dưới tên miền thuộc sở hữu của Google.

Những kẻ tấn công cũng sử dụng ứng dụng Google OAuth. Điểm quan trọng ở đây là trường 'Tên ứng dụng' trong Google có thể được thao túng để hiển thị bất kỳ văn bản mong muốn nào, và một tên miền từ Namecheap có thể được sử dụng để đặt địa chỉ 'Từ' là no-reply@google, trong khi địa chỉ trả lời có thể là bất cứ điều gì.

Johnson giải thích rằng thông điệp được chuyển tiếp đến nạn nhân, và vì DKIM chỉ xác minh thông điệp và các tiêu đề của nó, không phải phong bì, email lừa đảo vượt qua kiểm tra chữ ký và xuất hiện như một thông điệp hợp pháp trong hộp thư đến của người dùng, thậm chí trong cùng một luồng với các cảnh báo bảo mật thực sự.

Phản ứng của Google đối với lừa đảo

Một người phát ngôn của Google xác nhận họ đã biết về vấn đề này và đang tích cực làm việc để vô hiệu hóa cơ chế mà kẻ tấn công sử dụng để chèn văn bản tùy ý, điều này sẽ ngăn chặn phương pháp tấn công này trong tương lai.

Google đã triển khai các biện pháp bảo vệ chống lại loại tấn công này từ kẻ đe dọa, Rockfoils, trong tuần qua. Các biện pháp này dự kiến sẽ được triển khai đầy đủ sớm, hiệu quả đóng cửa con đường này cho việc lạm dụng.

Trong thời gian chờ đợi, Google khuyến khích người dùng kích hoạt xác thực hai yếu tố và sử dụng khóa truy cập, điều này cung cấp sự bảo vệ mạnh mẽ chống lại các chiến dịch phishing như vậy.

Người phát ngôn nhấn mạnh rằng Google sẽ không bao giờ yêu cầu thông tin tài khoản cá nhân, bao gồm mật khẩu, mật khẩu một lần hoặc thông báo đẩy, cũng như không gọi điện cho người dùng.

Theo Cointelegraph

Tin khác