Δυστυχώς το phising είναι ένα παιχνίδι γάτας και ποντικού εδώ και πολλά χρόνια, ωστόσο ενδιαφέρον παρουσιάζει ένα νέο είδος απάτης και μάλιστα με την υπογραφή της Google. Και αυτό γιατί ένα νέο phising email έκανε την εμφάνισή του και φαίνεται να περνάει τους μηχανισμούς ασφαλείας της Google και του Gmail.
Όπως σημειώνει χαρακτηριστικά ο Nick Johnson στο Twitter πρόσφατα αποτέλεσε στόχο μιας περίπλοκης επίθεσης που φαινόταν να προερχόταν από την Google. Ο Johnson σημειώνει ότι το email στάλθηκε από το no-reply@accounts.google.com και έχει γίνει signed από το accounts.google.com. Σημειώνει επίσης ότι το Gmail δεν έδειξε οποιοδήποτε σχετικό warning στο email.
Το email στη συνέχεια κατευθύνει τους χρήστες στο sites.google.com σε μια fake σελίδα υποστήριξης. Σε αυτό το σημείο θα πρέπει να σημειωθεί για όσους δεν γνωρίζουν ότι το Google Sites είναι μια νόμιμη υπηρεσία της Google που επιτρέπει στους χρήστες να δημιουργήσουν τις δικές τους σελίδες. Αυτό που έκαναν εδώ οι διαδικτυακοί εγκληματίες είναι να δημιουργήσουν μια fake σελίδα στο Google Sites για να ξεγελάσουν τους χρήστες και να πιστέψουν ότι αποτελεί μήνυμα της Google.
Πως το κατάφεραν
Ο Johnson ισχυρίζεται ότι η εν λόγω απάτη καθίσταται εφικτή από δυο προβλήματα που η Google αρνείται να επιδιορθώσει. Το πρώτο ότι επιτρέπει scripts και embeds στο Google Sites. Πως όμως κατάφεραν το email να γίνει signed από την Google;
το άρθρο συνεχίζει κάτω από την εικόνα
Όπως αποδεικνύεται έκαναν register ένα domain και δημιούργησαν έναν Google λογαριασμό με αυτό. Από εκεί, δημιούργησαν ένα Google OAuth app και στη συνέχεια χρησιμοποίησαν ολόκληρο το phising email σαν όνομα του app. Έδωσαν access στο λογαριασμό που δημιούργησαν στο OAauth app, κάτι που είχε σαν αποτέλεσμα να σταλεί ειδοποίηση από την Google (signed security notification). Στη συνέχεια προωθούσαν το email αυτό στους χρήστες. H Google από την μεριά της πάντως υπόσχεται ότι θα διορθώσει το bug για να μην γίνει εφικτό παρόμοιο περιστατικό απάτης.