У Gmail почали приходити дивні листи від Google: що це і чи варто їх відкривати
www.rbc.ua
Thu, 17 Apr 2025 13:00:00 +0300
Фішинг уже багато років являє собою небезпечну гру щойно технологічні компанії блокують одну схему, на її місці зявляється нова.
Однак зараз в обіг пішов новий фішинговий лист, який якимось чином успішно проходить перевірку Google і Gmail.
Про це повідомляє РБКУкраїна проект Styler з посиланням на видання Android Authority, що спеціалізується на новинах про Android і технологіях.
Подробиці фішингу в Gmail Розробник Нік Джонсон повідомив у Х Twitter, що став жертвою складної фішингової атаки, яка виглядала так, ніби прийшла від Google.
За його словами, лист було надіслано з адреси noreplyaccounts.google.com і справді було підписано як accounts.google.com.
Ба більше, Gmail не показав жодних попереджень.
У листі містилося посилання на сторінку в sites.google.com, яка насправді виявлялася підробленою сторінкою підтримки.
Варто зазначити, що Google Sites це офіційний сервіс Google, що дає змогу створювати сайти.
Ймовірно, зловмисники обрали саме цю платформу, щоб обдурити користувачів, створюючи враження, ніби вони перебувають на офіційній сторінці Google.
Перше, на що слід звернути увагу, це те, що це дійсний, підписаний електронний лист його справді надіслали з noreplygoogle.com.
Він проходить перевірку підпису DKIM, і GMail відображає його без жодних попереджень він навіть поміщає його в ту саму розмову, що й інші, легітимні попередження про безпеку.
pic.twitter.com/GxlFR6ccLG nick.eth nicksdjohnson April 16, 2025 При натисканні на кнопки Переглянути запит або Завантажити додаткові документи користувач потрапляв на підроблену сторінку входу, також розміщену на sites.google.com.
За словами Джонсона, ця фішингова атака стала можливою через дві вразливості, які Google спочатку відмовився усувати.
Поперше, він запропонував компанії відключити скрипти і довільні впровадження на сторінках Google Sites.
Подруге, його стурбувало, що лист було підписано як accounts.google.com.
Однак, якщо уважно подивитися на поле mailedby, видно, що він прийшов із домену privateemail.com.
Виявилося, що зловмисники зареєстрували власний домен і створили Googleакаунт, повязаний із цим доменом.
Далі вони створили OAuthдодаток Google і як імя додатка вказали текст самого фішингового листа.
Після цього вони дали своєму Googleакаунту доступ до створеного застосунку, внаслідок чого від імені Google було надіслано лист безпеки.
Потім це повідомлення пересилали жертвам.
Джонсон повідомив про вразливість, але Google спочатку закрив звіт, заявивши, що така поведінка є штатною.
Однак пізніше компанія змінила своє рішення і погодилася усунути проблему з аутентифікацією.
Так чи інакше, це вкрай правдоподібна фішингова атака, і користувачам варто бути особливо уважними.
Варто зазначити, що раніше вже повідомлялося про схожу схему тоді користувачам розсилали фальшиві листи відновлення безпеки, надіслані нібито від імені Google, а також надходили дзвінки з підробленими номерами підтримки Google.
Запит до служби підтримки фото X/NicksDJohnson Вас може зацікавити Як знайти та відновити зниклі листи в Gmail 7 надійних способів уберегти пошту Gmail від злому 5 поштових клієнтів, які можуть замінити Gmail
Останні новини
більше новин