Sajber kriminalci sve su veštiji u svom poslu i sve ih je teže prepoznati. U posljednjem pokušaju da prevare korisnike i dođu do njihovih ličnih i finansijskih podataka, kriminalci su odlučili predstaviti se kao - Gugl.
Tačnije, korisnici širom svijeta počeli su u svoje Dži-mejl elektronske sandučiće primati poruku koja izgleda poput sigurnosnog upozorenja od Gugla. Kako je na platformi X objavio programer Nik Džonson, u poruci se navodi da je "Gugl dostavljen sudski poziv u kojem se od njih traži da naprave kopiju sadržaja Gugl računa" primaoca.
U poruci koja izgleda izuzetno uverljivo, navodi se kako primalac (u ovom slučaju Džonson), može provjeriti pojedinosti ili uložiti žalbu sledeći vezu na Guglovu stranicu za podršku.
Kad je Džonson pokušao provjeriti poruku, sve je izgledalo legitimno. Poruku je potpisao Gugl, stigla je s adrese koja je prošla provjere autentičnosti koje koristi sam Dži-mejl (radi se o DomainKeys Identified Mail provjeri) i svrstana je u primarni inboks, u koji inače dolaze obavesti namijenjene direktno primatelju.
Čak je i klik na ponuđenu poveznicu u poruci djelovao legitimno - savršeni klon Guglove stranice za žalbe. Uz jednu malu, ali važnu razliku koju većina korisnika, čak i onih koji pomno provjeravaju potencijalne lažne poruke, teško može primijetiti.
Naime, poveznica iz sporne poruke vodi na stranicu na domeni "sites.google.com", što je Guglova domena, ali bila namjenjena komercijalnim stranicama i korisnicima koji su željeli imati svoju veb stranicu na Gugl domenu. Ta njihova usluga više nije dostupna, ali stranice s tom domenom i dalje postoje. "Prava" domena koju Gugl koristi za sve vezano uz korisničke račune je "accounts.google.com".
Lažna poruka koja je prevarila Dži-mejl?
Kako je onda takva poruka prevarila Dži-mejl i sve njegove sastave provjere? Zapravo, prevara je izvedena veoma inteligentno.
Gugl od 1. aprila 2024. godine provodi provjeru usklađenosti pošiljaoca masovne e-pošte s proverom autentičnosti pošiljaoca. U prevodu, sastav provjerava je li pošiljalac zaista onaj za kojeg se izdaje. Kako bi čitav sastav funkcionisao, Dži-mejl koristi tri koraka - DomainKeys Mail, provjeru domena s koje se šalje te provjeru samog pošiljaoca.
Sastav je trebao korisnicima Dži-mejla dati osjećaj sigurnosti da će filteri zaustaviti svaku poruku koje nije poslata s adrese legitimnog pošiljaoca. To je bila dobra zamisao, ali kako ovaj posljednji slučaj pokazuje - zlonamerni igrači pronašli su pukotine u tom sastavu.
Objašnjavajući da je napad na e-pošta iskoristila aplikaciju OAuth u kombinaciji s kreativnim zaobilaznim rješenjem za zaobilaženje vrsta zaštitnih mjera namijenjenih zaštiti od ove vrste pokušaja krađe identiteta, Melisa Bisčoping, šef sigurnosnih istraživanja u Taniumu za Forbs je upozorila da "iako su neke komponente ovog napada nove – i njima se Gugl pozabavio – napadi koji koriste pouzdane poslovne usluge i uslužne programe nisu ništa novo".
Gugl je već reagovao
Džonson je na platformi X objavio kako je prijavio ovu, kako naziva "grešku" Guglu i oni su u privatnom odgovoru rekli kako sve funkcioniše kako bi trebalo. No, naknadno je izvijestio kako su ga iz Gugla obavijestili kako će ipak ispraviti "pogrešku".
(Kurir)
