Kibernetički kriminalci sve su vještiji u svom poslu i sve ih je teže prepoznati. U posljednjem pokušaju da prevare korisnike i dođu do njihovih osobnih i financijskih podataka, kriminalci su odlučili predstaviti se kao - Google.
Točnije, korisnici diljem svijeta počeli su u svoje Gmail elektronske sandučiće primati poruku koja izgleda poput sigurnosnog upozorenja od Googlea. Kako je na platformi X objavio programer Nick Johnson, u poruci se navodi da je "Googleu dostavljen sudski poziv u kojem se od njih traži da naprave kopiju sadržaja Googlevog računa" primatelja.
U poruci koja izgleda izuzetno uvjerljivo, navodi se kako primatelj (u ovom slučaju Johnson), može provjeriti pojedinosti ili uložiti žalbu slijedeći poveznicu na Googleovu stranicu za podršku.
Kad je Johnson pokušao provjeriti poruku, sve je izgledalo legitimno. Poruku je potpisao Google, stigla je s adrese koja je prošla provjere autentičnosti koje koristi sam Gmail (radi se o DomainKeys Identified Mail provjeri) i svrstana je u primarni inbox, u koji inače dolaze obavijesti namijenjene direktno primatelju.
Čak je i klik na ponuđenu poveznicu u poruci djelovao legitimno - savršeni klon Googleove stranice za žalbe. Uz jednu malu, ali važnu razliku koju većina korisnika, čak i onih koji pomno provjeravaju potencijalne lažne poruke, teško može primijetiti.
Naime, poveznica iz sporne poruke vodi na stranicu na domeni "sites.google.com", što je Googleova domena, ali je bila namijenjena komercijalnim stranicama i korisnicima koji su željeli imati svoju web stranicu na Google domeni. Ta njihova usluga više nije dostupna, ali stranice s tom domenom i dalje postoje. "Prava" domena koju Google koristi za sve vezano uz korisničke račune je "accounts.google.com".
Lažna poruka koja je prevarila Gmail?
Kako je onda takva poruka prevarila Gmail i sve njegove sustave provjere? Zapravo, prijevara je izvedena veoma inteligentno.
Google od 1. travnja 2024. godine provodi provjeru usklađenosti pošiljatelja masovne e-pošte s provjerom autentičnosti pošiljatelja. U prijevodu, sustav provjerava je li pošiljatelj zaista onaj za kojeg se izdaje. Kako bi cijeli sustav funkcionirao, Gmail koristi tri koraka - DomainKeys Identified Mail, provjeru domene s koje se šalje te provjeru samog pošiljatelja.
Sustav je trebao korisnicima Gmaila dati osjećaj sigurnosti da će filteri zaustaviti svaku poruku koje nije poslana s adrese legitimnog pošiljatelja. To je bila dobra zamisao, ali kako ovaj posljednji slučaj pokazuje - zlonamjerni igrači pronašli su pukotine u tom sustavu.
Objašnjavajući da je lažna e-pošta iskoristila aplikaciju OAuth u kombinaciji s kreativnim zaobilaznim rješenjem za zaobilaženje vrsta zaštitnih mjera namijenjenih zaštiti od ove vrste pokušaja krađe identiteta, Melissa Bischoping, voditeljica sigurnosnih istraživanja u Taniumu za Forbes je upozorila da "iako su neke komponente ovog napada nove – i njima se Google pozabavio – napadi koji koriste pouzdane poslovne usluge i uslužne programe nisu ništa novo".
Google je već reagirao
Johnson je na platformi X objavio kako je prijavio ovu, kako naziva "grešku" Googleu i oni su u prvotnom odgovoru rekli kako sve funkcionira kako bi trebalo. No, naknadno je izvijestio kako su ga iz Googlea obavijestili kako će ipak ispraviti "pogrešku".
Dobra je vijest i što su iz Googlea potvrdili kako već rade na uvođenju dodatne razine zaštite koja bi trebala spriječiti ovakve napada.
A što korisnici mogu napraviti dok se to ne dogodi?
Iz Googlea savjetuju da korisnici obavezno omoguće dvostupanjsku autentifikaciju (2FA) i koriste lozinku za ulazak u svoj Gmail.
Izvor: Forbes
