Zach Latta, một lập trình viên tại Google, đã lọt vào tầm ngắm của những tên tội phạm mạng chuyên lừa đảo. Như anh ấy giải thích trong bài đăng trên GitHub, anh ấy đã trở thành mục tiêu của cuộc tấn công lừa đảo tinh vi nhất mà anh ấy "từng thấy". Nhà khoa học máy tính gần như đã rơi vào bẫy.
Mọi chuyện bắt đầu khi một phụ nữ trẻ, tự xưng là Chloé, gọi điện thoại cho một lập trình viên. Cuộc gọi đến từ số điện thoại 650-203-0000, được Google Assistant sử dụng cho các cuộc gọi tự động, bao gồm cả việc lên lịch hẹn tại Hoa Kỳ. Ở đầu dây bên kia, cô ta giả vờ là nhân viên của Google Workspace, một bộ công cụ và dịch vụ đám mây do Google phát triển cho các doanh nghiệp, trường học và tổ chức.
Cô ta khẳng định rằng gần đây có người đã cố gắng đăng nhập vào tài khoản của Zach Latta gần Frankfurt, Đức. Nhân viên bị cáo buộc tuyên bố rằng tài khoản Google đã bị tạm thời chặn. Vào thời điểm đó, lập trình viên này đã nghi ngờ về danh tính của người đối thoại.
Để xác minh danh tính, anh ta yêu cầu cô gửi email từ địa chỉ chính thức của Google. Người phụ nữ tên Chloé đã có thể thực hiện yêu cầu của anh ta bằng cách gửi cho anh ta một email có chứa số hồ sơ. Email này có vẻ hoàn toàn đúng sự thật. Nó thậm chí còn được gửi từ địa chỉ [email protected], khiến email trông giống như được gửi từ Google.
Trong dòng tiêu đề của email, anh ấy nhận thấy URL “g.co”. Sau một hồi tìm hiểu, Latta nhận ra rằng “g.co” là URL chính thức của Google, được chính công ty xác nhận và thậm chí còn có trang Wikipedia riêng. Nó được sử dụng như một dịch vụ rút ngắn URL cho các liên kết đến các trang web và dịch vụ của Google. Một lần nữa, tin tặc đã thành công trong việc khiến cái bẫy gần như không thể phát hiện được.
Qua điện thoại, Chloe yêu cầu lập trình viên thực hiện "khởi động lại phiên" trên thiết bị của cô. Anh miễn cưỡng bắt đầu tìm kiếm nhật ký của Google Workspace để tìm nỗ lực kết nối ở Đức. Vô ích. Sau khi xác nhận lỗi, người gọi đã ngắt cuộc gọi.
Câu chuyện không kết thúc ở đó. Sau đó, Zach Latta nhận được một cuộc gọi từ một người tên là Solomon, người này tự giới thiệu mình là quản lý của Chloe. Anh ấy khẳng định tài khoản của mình "có khả năng đã bị xâm phạm bởi tiện ích mở rộng chặn quảng cáo của Chrome, tiện ích này đã đánh cắp thông tin đăng nhập Gmail". Nó yêu cầu nhà phát triển đăng xuất khỏi tất cả các thiết bị và đặt lại mật khẩu của mình:
Người quản lý giả mạo hướng dẫn Zach Latta thực hiện quy trình đặt lại mật khẩu, thậm chí còn cung cấp cho anh ấy mã xác thực hai yếu tố do Google cung cấp. Rõ ràng, tin tặc đã có thể tạo mã xác thực hai yếu tố để lừa mục tiêu. Anh ta khuyến khích Latta sử dụng mã. Theo như lập trình viên giải thích, hành động này sẽ giúp người đối thoại có toàn quyền truy cập vào tài khoản.
Sau khi hiểu rằng đó là một nỗ lực tấn công, Zach Latta bắt đầu đặt câu hỏi. Kẻ lừa đảo đã quyết định cúp máy vì biết rằng mình đã bị lộ mặt. Theo nhà phát triển Google, chỉ cần một cú nhấp chuột là tài khoản của anh đã bị xâm phạm.
Sau cuộc tấn công rất thuyết phục này, Google đã tiến hành một cuộc điều tra. Nhóm phát hiện ra rằng bọn tội phạm đã sử dụng "tài khoản Workspace chưa được xác minh" và xâm nhập "để gửi email lừa đảo". Theo các nhà nghiên cứu của Hack Clubbers, những kẻ lừa đảo cũng đã lợi dụng "một lỗ hổng trong Google Workspace cho phép bạn tạo một không gian làm việc mới bằng bất kỳ tên miền phụ nào của g.co và gửi một số email nhất định mà không cần xác minh quyền sở hữu tên miền."Như người phát ngôn của Google đã giải thích với TechRadar, sự cố này đã thúc đẩy công ty có trụ sở tại Mountain View xem xét lại một số khía cạnh về bảo mật của mình. Mặc dù không tìm thấy "bằng chứng nào cho thấy đây là một cuộc tấn công quy mô lớn", Google đã tăng cường "các biện pháp phòng thủ chống lại những kẻ tấn công sử dụng thông tin đăng nhập g.co trong quá trình đăng ký để cải thiện khả năng bảo vệ người dùng".
Giờ đây, Google sẽ sử dụng thông tin cụ thể liên quan đến g.co để tăng cường bảo mật khi người dùng hoặc tổ chức mới đăng ký Google Workspace. Cho đến nay, vẫn có thể tạo một tổ chức Google Workspace giả mạo bằng cách sử dụng tên miền phụ g.co và gửi email mà không cần bằng chứng về quyền sở hữu. Hiện nay, Google đang bổ sung thêm bước kiểm tra trong quá trình đăng ký để đảm bảo chỉ những người được ủy quyền mới có thể sử dụng các tên miền phụ này. Người phát ngôn cũng nhắc lại rằng "Google sẽ không bao giờ gọi cho bạn để đặt lại mật khẩu hoặc khắc phục sự cố tài khoản."
Nguồn: Github
Mọi chuyện bắt đầu khi một phụ nữ trẻ, tự xưng là Chloé, gọi điện thoại cho một lập trình viên. Cuộc gọi đến từ số điện thoại 650-203-0000, được Google Assistant sử dụng cho các cuộc gọi tự động, bao gồm cả việc lên lịch hẹn tại Hoa Kỳ. Ở đầu dây bên kia, cô ta giả vờ là nhân viên của Google Workspace, một bộ công cụ và dịch vụ đám mây do Google phát triển cho các doanh nghiệp, trường học và tổ chức.
Một vụ lừa đảo được dàn dựng tinh vi
Cô ta khẳng định rằng gần đây có người đã cố gắng đăng nhập vào tài khoản của Zach Latta gần Frankfurt, Đức. Nhân viên bị cáo buộc tuyên bố rằng tài khoản Google đã bị tạm thời chặn. Vào thời điểm đó, lập trình viên này đã nghi ngờ về danh tính của người đối thoại.
Để xác minh danh tính, anh ta yêu cầu cô gửi email từ địa chỉ chính thức của Google. Người phụ nữ tên Chloé đã có thể thực hiện yêu cầu của anh ta bằng cách gửi cho anh ta một email có chứa số hồ sơ. Email này có vẻ hoàn toàn đúng sự thật. Nó thậm chí còn được gửi từ địa chỉ [email protected], khiến email trông giống như được gửi từ Google.
Trong dòng tiêu đề của email, anh ấy nhận thấy URL “g.co”. Sau một hồi tìm hiểu, Latta nhận ra rằng “g.co” là URL chính thức của Google, được chính công ty xác nhận và thậm chí còn có trang Wikipedia riêng. Nó được sử dụng như một dịch vụ rút ngắn URL cho các liên kết đến các trang web và dịch vụ của Google. Một lần nữa, tin tặc đã thành công trong việc khiến cái bẫy gần như không thể phát hiện được.
Qua điện thoại, Chloe yêu cầu lập trình viên thực hiện "khởi động lại phiên" trên thiết bị của cô. Anh miễn cưỡng bắt đầu tìm kiếm nhật ký của Google Workspace để tìm nỗ lực kết nối ở Đức. Vô ích. Sau khi xác nhận lỗi, người gọi đã ngắt cuộc gọi.
Trong tình thế cấp bách
Câu chuyện không kết thúc ở đó. Sau đó, Zach Latta nhận được một cuộc gọi từ một người tên là Solomon, người này tự giới thiệu mình là quản lý của Chloe. Anh ấy khẳng định tài khoản của mình "có khả năng đã bị xâm phạm bởi tiện ích mở rộng chặn quảng cáo của Chrome, tiện ích này đã đánh cắp thông tin đăng nhập Gmail". Nó yêu cầu nhà phát triển đăng xuất khỏi tất cả các thiết bị và đặt lại mật khẩu của mình:
Người quản lý giả mạo hướng dẫn Zach Latta thực hiện quy trình đặt lại mật khẩu, thậm chí còn cung cấp cho anh ấy mã xác thực hai yếu tố do Google cung cấp. Rõ ràng, tin tặc đã có thể tạo mã xác thực hai yếu tố để lừa mục tiêu. Anh ta khuyến khích Latta sử dụng mã. Theo như lập trình viên giải thích, hành động này sẽ giúp người đối thoại có toàn quyền truy cập vào tài khoản.
Sau khi hiểu rằng đó là một nỗ lực tấn công, Zach Latta bắt đầu đặt câu hỏi. Kẻ lừa đảo đã quyết định cúp máy vì biết rằng mình đã bị lộ mặt. Theo nhà phát triển Google, chỉ cần một cú nhấp chuột là tài khoản của anh đã bị xâm phạm.
Google buộc phải tăng cường phòng thủ
Sau cuộc tấn công rất thuyết phục này, Google đã tiến hành một cuộc điều tra. Nhóm phát hiện ra rằng bọn tội phạm đã sử dụng "tài khoản Workspace chưa được xác minh" và xâm nhập "để gửi email lừa đảo". Theo các nhà nghiên cứu của Hack Clubbers, những kẻ lừa đảo cũng đã lợi dụng "một lỗ hổng trong Google Workspace cho phép bạn tạo một không gian làm việc mới bằng bất kỳ tên miền phụ nào của g.co và gửi một số email nhất định mà không cần xác minh quyền sở hữu tên miền."Như người phát ngôn của Google đã giải thích với TechRadar, sự cố này đã thúc đẩy công ty có trụ sở tại Mountain View xem xét lại một số khía cạnh về bảo mật của mình. Mặc dù không tìm thấy "bằng chứng nào cho thấy đây là một cuộc tấn công quy mô lớn", Google đã tăng cường "các biện pháp phòng thủ chống lại những kẻ tấn công sử dụng thông tin đăng nhập g.co trong quá trình đăng ký để cải thiện khả năng bảo vệ người dùng".
Giờ đây, Google sẽ sử dụng thông tin cụ thể liên quan đến g.co để tăng cường bảo mật khi người dùng hoặc tổ chức mới đăng ký Google Workspace. Cho đến nay, vẫn có thể tạo một tổ chức Google Workspace giả mạo bằng cách sử dụng tên miền phụ g.co và gửi email mà không cần bằng chứng về quyền sở hữu. Hiện nay, Google đang bổ sung thêm bước kiểm tra trong quá trình đăng ký để đảm bảo chỉ những người được ủy quyền mới có thể sử dụng các tên miền phụ này. Người phát ngôn cũng nhắc lại rằng "Google sẽ không bao giờ gọi cho bạn để đặt lại mật khẩu hoặc khắc phục sự cố tài khoản."
Nguồn: Github