Νέα phishing emails μιμούνται τη Google για κλοπή credentials
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα phishing emails μιμούνται τη Google για κλοπή credentials
https://www.secnews.gr/646526/nea-phishing-emails-mimountai-google-klopi-credentials/
Apr 22nd 2025, 10:59
by Digital Fortress
Hackers χρησιμοποίησαν ένα κενό ασφαλείας, που τους επέτρεψε να στείλουν σε θύματα ένα phishing email που φαινόταν να έρχεται από τα συστήματα της Google. Το email πέρασε όλες τις επαληθεύσεις (συμπεριλαμβανομένου του DKIM) αλλά οδήγησε σε μια δόλια σελίδα που συγκέντρωνε στοιχεία σύνδεσης.
Οι εισβολείς χρησιμοποίησαν την υποδομή της ίδιας της Google για να εξαπατήσουν τους παραλήπτες ώστε να αποκτήσουν πρόσβαση σε μια νόμιμη "πύλη υποστήριξης" που ζητούσε credentials λογαριασμού Google.
Συγκεκριμένα, το phishing μήνυμα φαινόταν να προέρχεται από το "no-reply@google.com" και πέρασε τη μέθοδο ελέγχου ταυτότητας DomainKeys Identified Mail (DKIM), παρόλο που ο πραγματικός αποστολέας ήταν διαφορετικός.
Ψεύτικο email παρά το DKIM
Ο Nick Johnson, ο κύριος προγραμματιστής του Ethereum Name Service (ENS), έλαβε μια ειδοποίηση ασφαλείας που φαινόταν να προέρχεται από την Google. Η υποτιθέμενη ειδοποίηση τον ενημέρωνε για μια κλήτευση από μια αρχή επιβολής του νόμου, που ζητούσε το περιεχόμενο του Google Account του.
Σχεδόν όλα φαίνονταν νόμιμα και το email είχε φτάσει εκεί που βρίσκονται και άλλες νόμιμες ειδοποιήσεις ασφαλείας (για να αυξήσει την αξιοπιστία).
Δείτε επίσης: Η phishing υπηρεσία Tycoon 2FA χρησιμοποιεί νέα tricks
Ωστόσο, ο Johnson εντόπισε ότι το ψεύτικο support portal στο email φιλοξενήθηκε στο sites.google.com – τη δωρεάν πλατφόρμα web-building της Google. Αυτό του δημιούργησε υποψίες.
Όντας σε ένα Google domain, οι πιθανότητες του παραλήπτη να συνειδητοποιήσει ότι πρόκειται για απάτη είναι μικρότερες. Ο Johnson λέει ότι η ψεύτικη πύλη υποστήριξης ήταν "ένα ακριβές αντίγραφο του πραγματικού portal" και "η μόνη υπόδειξη ότι ήταν phishing ήταν ότι φιλοξενούνταν στο sites.google.com αντί για το accounts.google.com".
Ο προγραμματιστής πιστεύει ότι ο σκοπός του ψεύτικου ιστότοπου ήταν να συλλέξει διαπιστευτήρια για να παραβιάσει τον λογαριασμό του παραλήπτη. Το πιο έξυπνο σημείο της απάτης είναι ότι το μήνυμα φαίνεται να έχει περάσει την επαλήθευση DKIM της Google (DKIM replay phishing attack).
Μια πιο προσεκτική ματιά στις λεπτομέρειες του email αποκαλύπτει ότι η κεφαλίδα αποστολής εμφανίζει διαφορετική διεύθυνση από το no-reply της Google και ο παραλήπτης είναι μια διεύθυνση me@ σε ένα domain που φαίνεται ότι διαχειρίζεται η Google. Ωστόσο, το μήνυμα υπογράφηκε και παραδόθηκε από την Google.
Ο Johnson συγκέντρωσε τις ενδείξεις και ανακάλυψε τα κόλπα του απατεώνα.
"Πρώτον, κατοχυρώνουν ένα domain και δημιουργούν έναν λογαριασμό Google για me@domain". Το domain δεν είναι τόσο σημαντικό, αλλά βοηθάει. Η επιλογή " me " για το username είναι έξυπνη", εξηγεί ο προγραμματιστής.
Στη συνέχεια, ο εισβολέας φέρεται να δημιούργησε μια εφαρμογή Google OAuth και για το όνομά της χρησιμοποίησε ολόκληρο το μήνυμα phishing. Κάποια στιγμή, το μήνυμα περιείχε πολύ κενό διάστημα για να φαίνεται σαν να έχει τελειώσει και να το διαχωρίσει από την ειδοποίηση της Google σχετικά με την πρόσβαση στο me@domain email address του εισβολέα.
Δείτε επίσης: Precision-Validated Phishing: Νέα επικίνδυνη τεχνική phishing
Όταν ο εισβολέας παραχώρησε στην εφαρμογή OAuth πρόσβαση στη διεύθυνση email του στο Google Workspace, η Google έστειλε αυτόματα μια ειδοποίηση ασφαλείας σε αυτά τα εισερχόμενα.
"Από τη στιγμή που η Google δημιούργησε το email, είναι υπογεγραμμένο με ένα έγκυρο κλειδί DKIM και περνάει όλους τους ελέγχους", λέει ο Johnson. Το τελευταίο βήμα ήταν η προώθηση της ειδοποίησης ασφαλείας στα θύματα.
Ουσιαστικά, η αδυναμία στα συστήματα της Google, που εκμεταλλεύτηκαν οι hackers, είναι ότι το DKIM ελέγχει μόνο το μήνυμα και τις κεφαλίδες, χωρίς τον φάκελο. Έτσι, το ψεύτικο email περνά την επικύρωση υπογραφής και εμφανίζεται νόμιμο στα εισερχόμενα του παραλήπτη.
Επιπλέον, ονομάζοντας τη δόλια διεύθυνση me@, το Gmail θα εμφανίσει το μήνυμα σαν να είχε παραδοθεί στη διεύθυνση email του θύματος.
Ο Johnson υπέβαλε μια αναφορά σφαλμάτων στην Google και η αρχική απάντηση της εταιρείας ήταν ότι η διαδικασία λειτουργούσε όπως έπρεπε. Ωστόσο, αργότερα επανεξέτασε το ζήτημα, αναγνωρίζοντάς το ως κίνδυνο για τους χρήστες της και επί του παρόντος εργάζεται για να διορθώσει την αδυναμία του OAuth.
Δείτε επίσης: Τι είναι οι επιθέσεις whale-phishing και πώς θα προστατευτείτε
Νέα phishing emails μιμούνται τη Google για κλοπή credentials
Προστασία
Η αναγνώριση ενός phishing email (παραπλανητικού email που προσπαθεί να αποσπάσει προσωπικά ή οικονομικά στοιχεία) είναι πολύ σημαντική για την ασφάλεια των δεδομένων σου. Παρακάτω είναι μερικά βασικά σημάδια που πρέπει να προσέχεις:
Ύποπτη διεύθυνση αποστολέα
Το phishing email μπορεί να φαίνεται ότι έρχεται από γνωστή εταιρεία (π.χ. "Google"), αλλά αν κοιτάξεις τη διεύθυνση αποστολέα, μπορεί να υπάρχουν μικρές αλλαγές (π.χ. αναγραμματισμοί) που προδίδουν την απάτη.
Επείγουσες ή τρομακτικές διατυπώσεις
Χρήση εκφράσεων όπως:
• "Ο λογαριασμός σας θα κλείσει!"
• "Απαιτείται άμεση ενέργεια!"
Στόχος είναι να σε αγχώσουν ώστε να ενεργήσεις χωρίς σκέψη.
Ύποπτα links
Τα links μπορεί να φαίνονται νόμιμα, αλλά αν τα περάσεις με το ποντίκι (χωρίς να κάνεις κλικ), θα δεις ότι οδηγούν σε διαφορετικό website.
Αιτήματα για προσωπικές πληροφορίες
Οι νόμιμες εταιρείες δεν ζητούν ποτέ μέσω email:
• Κωδικούς
• Αριθμούς πιστωτικής κάρτας
• ΑΜΚΑ, ΑΦΜ, κ.λπ.
Συντακτικά ή ορθογραφικά λάθη
Τα phishing emails συχνά έχουν κακή μετάφραση, ασυνάρτητες προτάσεις ή λάθη.
Επισυνάψεις με παράξενες επεκτάσεις
Αν δεις αρχεία όπως .exe, .zip, .scr, μην τα ανοίξεις. Μπορεί να περιέχουν ιούς ή κακόβουλο λογισμικό.
Τι μπορείς να κάνεις:
• Μην κάνεις κλικ σε links πριν τα ελέγξεις.
• Μην απαντάς στο email.
• Αν έχεις αμφιβολία, επικοινώνησε απευθείας με την εταιρεία από επίσημα κανάλια.
• Αναφορά του phishing email στον πάροχο email ή στην εταιρεία που προσποιούνται.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα phishing emails μιμούνται τη Google για κλοπή credentials
https://www.secnews.gr/646526/nea-phishing-emails-mimountai-google-klopi-credentials/
Apr 22nd 2025, 10:59
by Digital Fortress
Hackers χρησιμοποίησαν ένα κενό ασφαλείας, που τους επέτρεψε να στείλουν σε θύματα ένα phishing email που φαινόταν να έρχεται από τα συστήματα της Google. Το email πέρασε όλες τις επαληθεύσεις (συμπεριλαμβανομένου του DKIM) αλλά οδήγησε σε μια δόλια σελίδα που συγκέντρωνε στοιχεία σύνδεσης.
Οι εισβολείς χρησιμοποίησαν την υποδομή της ίδιας της Google για να εξαπατήσουν τους παραλήπτες ώστε να αποκτήσουν πρόσβαση σε μια νόμιμη "πύλη υποστήριξης" που ζητούσε credentials λογαριασμού Google.
Συγκεκριμένα, το phishing μήνυμα φαινόταν να προέρχεται από το "no-reply@google.com" και πέρασε τη μέθοδο ελέγχου ταυτότητας DomainKeys Identified Mail (DKIM), παρόλο που ο πραγματικός αποστολέας ήταν διαφορετικός.
Ψεύτικο email παρά το DKIM
Ο Nick Johnson, ο κύριος προγραμματιστής του Ethereum Name Service (ENS), έλαβε μια ειδοποίηση ασφαλείας που φαινόταν να προέρχεται από την Google. Η υποτιθέμενη ειδοποίηση τον ενημέρωνε για μια κλήτευση από μια αρχή επιβολής του νόμου, που ζητούσε το περιεχόμενο του Google Account του.
Σχεδόν όλα φαίνονταν νόμιμα και το email είχε φτάσει εκεί που βρίσκονται και άλλες νόμιμες ειδοποιήσεις ασφαλείας (για να αυξήσει την αξιοπιστία).
Δείτε επίσης: Η phishing υπηρεσία Tycoon 2FA χρησιμοποιεί νέα tricks
Ωστόσο, ο Johnson εντόπισε ότι το ψεύτικο support portal στο email φιλοξενήθηκε στο sites.google.com – τη δωρεάν πλατφόρμα web-building της Google. Αυτό του δημιούργησε υποψίες.
Όντας σε ένα Google domain, οι πιθανότητες του παραλήπτη να συνειδητοποιήσει ότι πρόκειται για απάτη είναι μικρότερες. Ο Johnson λέει ότι η ψεύτικη πύλη υποστήριξης ήταν "ένα ακριβές αντίγραφο του πραγματικού portal" και "η μόνη υπόδειξη ότι ήταν phishing ήταν ότι φιλοξενούνταν στο sites.google.com αντί για το accounts.google.com".
Ο προγραμματιστής πιστεύει ότι ο σκοπός του ψεύτικου ιστότοπου ήταν να συλλέξει διαπιστευτήρια για να παραβιάσει τον λογαριασμό του παραλήπτη. Το πιο έξυπνο σημείο της απάτης είναι ότι το μήνυμα φαίνεται να έχει περάσει την επαλήθευση DKIM της Google (DKIM replay phishing attack).
Μια πιο προσεκτική ματιά στις λεπτομέρειες του email αποκαλύπτει ότι η κεφαλίδα αποστολής εμφανίζει διαφορετική διεύθυνση από το no-reply της Google και ο παραλήπτης είναι μια διεύθυνση me@ σε ένα domain που φαίνεται ότι διαχειρίζεται η Google. Ωστόσο, το μήνυμα υπογράφηκε και παραδόθηκε από την Google.
Ο Johnson συγκέντρωσε τις ενδείξεις και ανακάλυψε τα κόλπα του απατεώνα.
"Πρώτον, κατοχυρώνουν ένα domain και δημιουργούν έναν λογαριασμό Google για me@domain". Το domain δεν είναι τόσο σημαντικό, αλλά βοηθάει. Η επιλογή " me " για το username είναι έξυπνη", εξηγεί ο προγραμματιστής.
Στη συνέχεια, ο εισβολέας φέρεται να δημιούργησε μια εφαρμογή Google OAuth και για το όνομά της χρησιμοποίησε ολόκληρο το μήνυμα phishing. Κάποια στιγμή, το μήνυμα περιείχε πολύ κενό διάστημα για να φαίνεται σαν να έχει τελειώσει και να το διαχωρίσει από την ειδοποίηση της Google σχετικά με την πρόσβαση στο me@domain email address του εισβολέα.
Δείτε επίσης: Precision-Validated Phishing: Νέα επικίνδυνη τεχνική phishing
Όταν ο εισβολέας παραχώρησε στην εφαρμογή OAuth πρόσβαση στη διεύθυνση email του στο Google Workspace, η Google έστειλε αυτόματα μια ειδοποίηση ασφαλείας σε αυτά τα εισερχόμενα.
"Από τη στιγμή που η Google δημιούργησε το email, είναι υπογεγραμμένο με ένα έγκυρο κλειδί DKIM και περνάει όλους τους ελέγχους", λέει ο Johnson. Το τελευταίο βήμα ήταν η προώθηση της ειδοποίησης ασφαλείας στα θύματα.
Ουσιαστικά, η αδυναμία στα συστήματα της Google, που εκμεταλλεύτηκαν οι hackers, είναι ότι το DKIM ελέγχει μόνο το μήνυμα και τις κεφαλίδες, χωρίς τον φάκελο. Έτσι, το ψεύτικο email περνά την επικύρωση υπογραφής και εμφανίζεται νόμιμο στα εισερχόμενα του παραλήπτη.
Επιπλέον, ονομάζοντας τη δόλια διεύθυνση me@, το Gmail θα εμφανίσει το μήνυμα σαν να είχε παραδοθεί στη διεύθυνση email του θύματος.
Ο Johnson υπέβαλε μια αναφορά σφαλμάτων στην Google και η αρχική απάντηση της εταιρείας ήταν ότι η διαδικασία λειτουργούσε όπως έπρεπε. Ωστόσο, αργότερα επανεξέτασε το ζήτημα, αναγνωρίζοντάς το ως κίνδυνο για τους χρήστες της και επί του παρόντος εργάζεται για να διορθώσει την αδυναμία του OAuth.
Δείτε επίσης: Τι είναι οι επιθέσεις whale-phishing και πώς θα προστατευτείτε
Νέα phishing emails μιμούνται τη Google για κλοπή credentials
Προστασία
Η αναγνώριση ενός phishing email (παραπλανητικού email που προσπαθεί να αποσπάσει προσωπικά ή οικονομικά στοιχεία) είναι πολύ σημαντική για την ασφάλεια των δεδομένων σου. Παρακάτω είναι μερικά βασικά σημάδια που πρέπει να προσέχεις:
Ύποπτη διεύθυνση αποστολέα
Το phishing email μπορεί να φαίνεται ότι έρχεται από γνωστή εταιρεία (π.χ. "Google"), αλλά αν κοιτάξεις τη διεύθυνση αποστολέα, μπορεί να υπάρχουν μικρές αλλαγές (π.χ. αναγραμματισμοί) που προδίδουν την απάτη.
Επείγουσες ή τρομακτικές διατυπώσεις
Χρήση εκφράσεων όπως:
• "Ο λογαριασμός σας θα κλείσει!"
• "Απαιτείται άμεση ενέργεια!"
Στόχος είναι να σε αγχώσουν ώστε να ενεργήσεις χωρίς σκέψη.
Ύποπτα links
Τα links μπορεί να φαίνονται νόμιμα, αλλά αν τα περάσεις με το ποντίκι (χωρίς να κάνεις κλικ), θα δεις ότι οδηγούν σε διαφορετικό website.
Αιτήματα για προσωπικές πληροφορίες
Οι νόμιμες εταιρείες δεν ζητούν ποτέ μέσω email:
• Κωδικούς
• Αριθμούς πιστωτικής κάρτας
• ΑΜΚΑ, ΑΦΜ, κ.λπ.
Συντακτικά ή ορθογραφικά λάθη
Τα phishing emails συχνά έχουν κακή μετάφραση, ασυνάρτητες προτάσεις ή λάθη.
Επισυνάψεις με παράξενες επεκτάσεις
Αν δεις αρχεία όπως .exe, .zip, .scr, μην τα ανοίξεις. Μπορεί να περιέχουν ιούς ή κακόβουλο λογισμικό.
Τι μπορείς να κάνεις:
• Μην κάνεις κλικ σε links πριν τα ελέγξεις.
• Μην απαντάς στο email.
• Αν έχεις αμφιβολία, επικοινώνησε απευθείας με την εταιρεία από επίσημα κανάλια.
• Αναφορά του phishing email στον πάροχο email ή στην εταιρεία που προσποιούνται.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz