Nick Johnson, một nhà phát triển người New Zealand được biết đến với vai trò sáng lập và lãnh đạo phát triển Ethereum Name Service (ENS), một hệ thống đặt tên phi tập trung chạy trên chuỗi khối Ethereum, đã trở thành mục tiêu của một vụ lừa đảo Gmail tinh vi. Nhà phát triển đã mô tả chi tiết về tai nạn của mình trên tài khoản X.
Cuộc tấn công mà anh ta mô tả là "cực kỳ tinh vi", bắt đầu bằng việc nhận được một email đề cập đến trát triệu tập hợp pháp. Email này tuyên bố rằng Google đã được tòa án ra lệnh phải chuyển giao toàn bộ thông tin tài khoản của bạn cho chính quyền để phục vụ cho quá trình điều tra. Động cơ này sẽ khơi dậy sự tò mò và lo ngại của người dùng Internet.
Để xoa dịu sự nghi ngờ của mục tiêu, tội phạm mạng khai thác "lỗ hổng trong cơ sở hạ tầng của Google". Trên thực tế, email này thực sự được gửi từ một địa chỉ công ty chính thức, cụ thể là [emailprotected]. Trên thực tế, email này không kích hoạt cơ chế bảo mật hoặc bộ lọc thư rác của Gmail. Email không hiển thị bất kỳ cảnh báo nào trên email, điều này khiến người dùng nghĩ rằng đây là một thông báo chính thức.
Hơn nữa, email còn vượt qua DKIM (Thư được xác định bằng khóa miền), một hệ thống bảo mật được sử dụng để xác minh rằng emailthực sự được gửi bởi tên miền mà nó tuyên bố, và email đó không bị sửa đổi trong quá trình gửi. Tệ hơn nữa, email này còn bị trộn lẫn với nhiều email hợp pháp khác mà người dùng Internet nhận được. Tin tặc có thể gửi thư lừa đảo qua địa chỉ email của Google bằng cách nào?
Nick Johnson cho biết manh mối duy nhất cho thấy "đây là email lừa đảo là email này được lưu trữ trên http://sites.google.com thay vì http://accounts.google.com", đồng thời nói thêm rằng sites.google.com là "một sản phẩm cũ từ trước khi Google coi trọng vấn đề bảo mật". Quá cơ bản, nền tảng này dần dần bị lãng quên. Mặc dù vẫn trực tuyến, nhưng nó không còn phù hợp với nhu cầu của web hiện đại nữa.
Sau đó, kẻ tấn công đã tạo một ứng dụng Google giả, như thể đó là một dịch vụ thực sự, với OAuth, phiên bản triển khai tiêu chuẩn OAuth mở của Google. Anh ta đã sử dụng toàn bộ tin nhắn lừa đảo làm tên ứng dụng để làm cho yêu cầu ủy quyền có vẻ chính thức. Khi nạn nhân nhìn thấy yêu cầu truy cập, họ nghĩ rằng đó là một thông báo pháp lý thực sự từ Google. Trên thực tế, Google cho phép các nhà phát triển tạo ứng dụng OAuth, yêu cầu quyền truy cập vào dữ liệu người dùng nhất định. Chiêu trò này giúp tăng cường độ tin cậy của cuộc tấn công. Được Nick Johnson cảnh báo, Google đã cam kết sửa lỗi OAuth.
Tin chắc rằng email thực sự đến từ Google, mục tiêu sẽ tin tưởng. Để tìm hiểu thêm về lệnh triệu tập kỳ lạ này, cô ấy sẽ làm theo những gì email gợi ý. Nghĩa là, nhấp vào liên kết trong email. Thao tác này sẽ mở ra một trang đăng nhập Google giả trên trang web được tạo bằng sites.google.com. Khi đến đó, người dùng Internet sẽ muốn “Tải xuống các tài liệu bổ sung” hoặc “Hiển thị trường hợp” đang đề cập. Để làm được điều này, anh ta sẽ phải cung cấp thông tin nhận dạng, tên người dùng và mật khẩu của mình cho tin tặc. Đây chính là nơi bẫy đóng lại. Với thông tin đăng nhập của bạn, tin tặc có thể cố gắng kiểm soát Tài khoản Google của bạn.
Đây không phải là lần đầu tiên các công cụ của Google bị tội phạm mạng chiếm đoạt. Ví dụ, một số tin tặc sử dụng g.co, một tên miền rút gọn chính thức của Google, để phát tán các trang web độc hại của họ bằng cách làm cho chúng có vẻ chính thức.
Cuộc tấn công mà anh ta mô tả là "cực kỳ tinh vi", bắt đầu bằng việc nhận được một email đề cập đến trát triệu tập hợp pháp. Email này tuyên bố rằng Google đã được tòa án ra lệnh phải chuyển giao toàn bộ thông tin tài khoản của bạn cho chính quyền để phục vụ cho quá trình điều tra. Động cơ này sẽ khơi dậy sự tò mò và lo ngại của người dùng Internet.
Để xoa dịu sự nghi ngờ của mục tiêu, tội phạm mạng khai thác "lỗ hổng trong cơ sở hạ tầng của Google". Trên thực tế, email này thực sự được gửi từ một địa chỉ công ty chính thức, cụ thể là [emailprotected]. Trên thực tế, email này không kích hoạt cơ chế bảo mật hoặc bộ lọc thư rác của Gmail. Email không hiển thị bất kỳ cảnh báo nào trên email, điều này khiến người dùng nghĩ rằng đây là một thông báo chính thức.
Hơn nữa, email còn vượt qua DKIM (Thư được xác định bằng khóa miền), một hệ thống bảo mật được sử dụng để xác minh rằng emailthực sự được gửi bởi tên miền mà nó tuyên bố, và email đó không bị sửa đổi trong quá trình gửi. Tệ hơn nữa, email này còn bị trộn lẫn với nhiều email hợp pháp khác mà người dùng Internet nhận được. Tin tặc có thể gửi thư lừa đảo qua địa chỉ email của Google bằng cách nào?
Nền tảng của Google bị tin tặc khai thác
Trên thực tế, tin tặc sẽ sử dụng nền tảng miễn phísites.google.com. Được Google ra mắt vào năm 2008, công cụ này cho phép bạn dễ dàng tạo trang web mà không cần kiến thức lập trình, thông qua giao diện đơn giản và trực quan. Sử dụng nền tảng này, tin tặc đã tạo ra một trang web giả mạo bắt chước trang web của Google. Sau đó, chúng đăng ký một tên miền và tạo một tài khoản Google, dùng tài khoản này để gửi email lừa đảo.Nick Johnson cho biết manh mối duy nhất cho thấy "đây là email lừa đảo là email này được lưu trữ trên http://sites.google.com thay vì http://accounts.google.com", đồng thời nói thêm rằng sites.google.com là "một sản phẩm cũ từ trước khi Google coi trọng vấn đề bảo mật". Quá cơ bản, nền tảng này dần dần bị lãng quên. Mặc dù vẫn trực tuyến, nhưng nó không còn phù hợp với nhu cầu của web hiện đại nữa.
Sau đó, kẻ tấn công đã tạo một ứng dụng Google giả, như thể đó là một dịch vụ thực sự, với OAuth, phiên bản triển khai tiêu chuẩn OAuth mở của Google. Anh ta đã sử dụng toàn bộ tin nhắn lừa đảo làm tên ứng dụng để làm cho yêu cầu ủy quyền có vẻ chính thức. Khi nạn nhân nhìn thấy yêu cầu truy cập, họ nghĩ rằng đó là một thông báo pháp lý thực sự từ Google. Trên thực tế, Google cho phép các nhà phát triển tạo ứng dụng OAuth, yêu cầu quyền truy cập vào dữ liệu người dùng nhất định. Chiêu trò này giúp tăng cường độ tin cậy của cuộc tấn công. Được Nick Johnson cảnh báo, Google đã cam kết sửa lỗi OAuth.
Tin chắc rằng email thực sự đến từ Google, mục tiêu sẽ tin tưởng. Để tìm hiểu thêm về lệnh triệu tập kỳ lạ này, cô ấy sẽ làm theo những gì email gợi ý. Nghĩa là, nhấp vào liên kết trong email. Thao tác này sẽ mở ra một trang đăng nhập Google giả trên trang web được tạo bằng sites.google.com. Khi đến đó, người dùng Internet sẽ muốn “Tải xuống các tài liệu bổ sung” hoặc “Hiển thị trường hợp” đang đề cập. Để làm được điều này, anh ta sẽ phải cung cấp thông tin nhận dạng, tên người dùng và mật khẩu của mình cho tin tặc. Đây chính là nơi bẫy đóng lại. Với thông tin đăng nhập của bạn, tin tặc có thể cố gắng kiểm soát Tài khoản Google của bạn.
Đây không phải là lần đầu tiên các công cụ của Google bị tội phạm mạng chiếm đoạt. Ví dụ, một số tin tặc sử dụng g.co, một tên miền rút gọn chính thức của Google, để phát tán các trang web độc hại của họ bằng cách làm cho chúng có vẻ chính thức.
