کارشناسان امنیت سایبری هشدار دادهاند مهاجمان سایبری با سوءاستفاده از زیرساختهای خود گوگل، ایمیلهایی طراحی میکنند که ظاهری کاملا رسمی و مشابه هشدارهای امنیتی گوگل دارد. آنها از این طریق با و فریب کاربران، به دنبال سرقت اطلاعات حساب آنها هستند.
این موضوع برای نخستینبار توسط «نیک جانسون»، توسعهدهنده ارشد سرویس ENS شناسایی شد. او ایمیلی دریافت کرد که ادعا میکرد پلیس در پی حکم قضایی از گوگل خواسته تا به دادههای حساب کاربری او دسترسی بدهد. در این ایمیل لینکی قرار داشت که به صفحهای در sites.google.com هدایت میشد. این صفحه نسخهای جعلی اما دقیق از پورتال پشتیبانی رسمی گوگل را شبیهسازی کرده بود.
هکرها با میزبانی صفحات فیشینگ در Google Sites میتوانند فیلترهای امنیتی بسیاری از جمله DKIM را دور بزنند. این پروتکل برای تایید صحت امضای دیجیتال ایمیلها به کار میرود. در این حمله، اگر قربانی روی گزینههایی از جمله «ارسال مدارک بیشتر» یا «مشاهده پرونده» کلیک کند، به صفحهای جعلی اما مشابه صفحه ورود گوگل هدایت میشود تا اطلاعات ورود او مورد سرقت قرار بگیرد.
مهاجمان در این حمله با سوءاستفاده از سیستم احراز هویت OAuth گوگل، موفق شدهاند ایمیلی از آدرس no-reply@accounts.google.com به قربانی ارسال کنند. از آنجا که این هشدار از آدرس رسمی گوگل ارسال شده و حتی دارای امضای معتبر DKIM است، بسیاری از کاربران حتی با بررسی دقیق نیز ممکن است به جعلی بودن آن پی نبرند.
گوگل ابتدا گزارش نیک جانسون درباره این آسیبپذیری را با برچسب «عملکرد مطابق انتظار» رد کرد اما پس از بررسی مجدد اعلام کرد که برای رفع این مشکل در سازوکار OAuth اقدام خواهد کرد.
توضیحات بیشتر: