Фишинг через Google: ENS предупреждает о поддельных повестках в рамках новой схемы взлома

Мошенники используют Google Sites и OAuth, чтобы похищать данные — письмо проходит все проверки безопасности

Создатель Ethereum Name Service Ник Джонсон предупредил пользователей X о новой волне сложных фишинг-атак, в которых злоумышленники маскируются под Google.

Главная опасность — такие письма проходят DKIM-подпись и отображаются Gmail как легитимные. Более того, они попадают в ту же цепочку сообщений, что и настоящие уведомления от службы безопасности.

Как работает фейковая «повестка от полиции»

В письме говорится, что данные пользователя запрошены правоохранительными органами в рамках повестки. В теле сообщения содержится ссылка для «ознакомления с материалами дела» или «подачи протеста».

Переход ведет на поддомен Google Sites, созданный при помощи Google-аккаунта мошенников. Дальше — подмена страницы поддержки и сбор логинов и паролей.

«Я не стал идти дальше, но уверен, что там собирают ваши учетные данные», — заявил Джонсон.

Он также отметил, что письмо визуально выглядит достоверно, но при этом пересылается с личного почтового ящика — что уже должно вызывать подозрение.

На этом фоне: пользователи Android тоже под угрозой — вредоносное ПО крадет доступы к кошелькам прямо через экран

Как злоумышленники обходят защиту Google

По данным компании EasyDMARC, атака работает за счет нескольких уязвимостей в инфраструктуре Google.

• Во-первых, любой пользователь может создать сайт через Google Sites, который будет размещен на доверенном поддомене.
• Во-вторых, при создании OAuth-приложения можно свободно указывать любое имя и адрес отправителя. Это позволяет использовать формат no-reply@google.com, создавая ощущение официальности.

Самый критичный момент — то, что система DKIM проверяет только заголовки и тело сообщения, но не «конверт». В результате письмо успешно проходит все фильтры и отображается как настоящее.

Ранее писали: данные клиентов Ledger, Gemini и Robinhood уже оказались в даркнете — мошенники выстраивают все более изощренные схемы

Google начал закрывать уязвимость

В комментарии Cointelegraph представитель Google подтвердил проблему. Сейчас компания отключает механизм, позволяющий вставлять текст произвольной длины, что закроет возможность такой атаки в будущем.

«Мы знаем об этой атаке от группы Rockfoils и уже начали выкатывать защиту. В ближайшие дни она будет развернута полностью», — уточнил представитель компании.

Пока обновления не вступили в силу, пользователям рекомендуют включить двухфакторную аутентификацию и использовать passkey. Это поможет защититься даже в случае успешной подделки письма.

Ранее на Coinspot разбирали, как распознать фишинг и не стать жертвой скама — советы от аналитика ZachXBT

Компания также напомнила: Google никогда не запрашивает личные данные — ни пароли, ни OTP-коды, ни push-уведомления. И тем более не звонит пользователям.