Μια νέα και ιδιαίτερα εξελιγμένη απάτη μέσω ηλεκτρονικού ταχυδρομείου (phishing scam) έχει προκαλέσει ανησυχία στους ειδικούς κυβερνοασφάλειας.
Χρησιμοποιώντας πραγματικές υπηρεσίες της Google, οι απατεώνες καταφέρνουν να ξεγελούν ακόμη και τους πιο έμπειρους χρήστες. Όπως αποκάλυψε ο προγραμματιστής Nick Johnson μέσα από μια σειρά δημοσιεύσεων στην πλατφόρμα X, οι επιτήδειοι κατάφεραν να τον στοχοποιήσουν με ένα καλοστημένο ψεύτικο email.
Ένα φαινομενικά αυθεντικό email από τη διεύθυνση [email protected]
Το email ανέφερε πως η Google είχε λάβει κλήτευση για να παραδώσει δεδομένα από τον λογαριασμό του Johnson. Το μήνυμα φαινόταν αυθεντικό: είχε σωστή γλώσσα, επαγγελματική διατύπωση, καμία εμφανή γραμματική ατέλεια και έφερε υπογραφή DKIM (DomainKeys Identified Mail), που επιβεβαιώνει την εγκυρότητα του αποστολέα. Εστάλη από τη διεύθυνση [email protected] – μια διεύθυνση που χρησιμοποιείται όντως από την Google για αυτόματες ειδοποιήσεις.
Η παγίδα: ένας «νόμιμος» σύνδεσμος που οδηγεί σε ψεύτικη σελίδα
Το email περιλάμβανε σύνδεσμο που παρέπεμπε σε μία «υποστηρικτική σελίδα» της Google. Η σελίδα ήταν φιλοξενούμενη στο Google Sites, την πλατφόρμα που επιτρέπει τη δημιουργία ιστοσελίδων από χρήστες. Η χρήση αυτής της πλατφόρμας προσέδιδε αξιοπιστία, καθώς ο μέσος χρήστης δεν υποψιάζεται απάτη όταν βλέπει διεύθυνση που περιλαμβάνει το google.com.
Όταν ο χρήστης πατούσε σε επιλογές όπως «Ανέβασμα εγγράφων» ή «Προβολή υπόθεσης», μεταφερόταν σε μια σελίδα εισόδου που έμοιαζε με αυθεντική της Google. Το μοναδικό στοιχείο που πρόδιδε την απάτη ήταν ότι η σελίδα αυτή φιλοξενείτο επίσης στο Google Sites – και όχι στο κανονικό domain των Google Accounts.
Τι θα συνέβαινε αν έβαζε τα στοιχεία του
Εάν ο Nick Johnson πληκτρολογούσε το όνομα χρήστη και τον κωδικό του, οι επιτήδειοι θα αποκτούσαν πρόσβαση στον λογαριασμό του. Το τέχνασμα βασίζεται στην παραπλάνηση του χρήστη μέσω της αξιοπιστίας των υπηρεσιών της Google, που συνήθως εμπιστευόμαστε χωρίς δεύτερη σκέψη.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google’s infrastructure, and given their refusal to fix it, we’re likely to see it a lot more. Here’s the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
Εκμετάλλευση πραγματικών λειτουργιών της Google
Όπως εξηγεί η Melissa Bischoping, επικεφαλής ερευνών ασφάλειας της εταιρείας Tanium: «Η επίθεση αυτή χρησιμοποιεί νόμιμα χαρακτηριστικά της Google για να παρακάμπτει τα παραδοσιακά φίλτρα ασφαλείας. Εκτός από την τεχνική μαεστρία, το ανησυχητικό είναι η χρήση αξιόπιστων υπηρεσιών, κάτι που καθιστά την απάτη εξαιρετικά πειστική».
Μάλιστα, η χρήση OAuth εφαρμογών και η τεχνική DKIM παραπλάνησης καταφέρνουν να ξεγελάσουν ακόμα και τα πιο εξελιγμένα εργαλεία ανίχνευσης απειλών.
Η ευθύνη και η καθυστερημένη αντίδραση της Google
Η ευθύνη ανήκει πρωτίστως στους απατεώνες. Ωστόσο και η Google δέχεται επικρίσεις, καθώς το Google Sites – ένα παλαιότερο εργαλείο της εταιρείας – επιτρέπει ακόμη την ενσωμάτωση αυθαίρετου κώδικα και ενσωματωμένων αντικειμένων.
Επιπλέον, όπως αποκάλυψε ο Johnson, το email είχε τελικά αποσταλεί από μια διεύθυνση τύπου privateemail.com, γεγονός που προκαλεί ερωτήματα για το πώς εγκρίθηκε η DKIM υπογραφή.
Η αρχική αντίδραση της Google ήταν να θεωρήσει την κατάσταση «αναμενόμενη συμπεριφορά». Μετά από πίεση, η εταιρεία υποσχέθηκε να διορθώσει τα σχετικά κενά ασφαλείας.
Πώς να προστατευτείτε από τέτοιες απάτες email
Ο Thomas Richards, διευθυντής ασφάλειας υποδομών στην Black Duck, προτείνει τις εξής ενέργειες:
- Μην εμπιστεύεστε email που σας καλούν σε άμεση ενέργεια υπό την απειλή συνεπειών. Είναι κοινή τακτική των phishing email.
- Ελέγξτε τη διεύθυνση αποστολέα και παραλήπτη. Αν δεν ταιριάζει με το όνομα της εταιρείας ή αν το email δεν απευθύνεται ξεκάθαρα σε εσάς, είναι ύποπτο.
- Μην κάνετε κλικ σε συνδέσμους email. Αν υποψιάζεστε κάτι, επισκεφθείτε τον επίσημο ιστότοπο πληκτρολογώντας τον χειροκίνητα.
- Αναζητήστε το περιεχόμενο του email στο διαδίκτυο. Πολλές φορές θα βρείτε αναφορές άλλων χρηστών που έχουν λάβει παρόμοιο email.
VIA: FoxReport.gr
