Korisnici širom sveta počeli su u svoje Gmail elektronske sandučiće primati poruku koja izgleda poput sigurnosnog upozorenja od Googla.
Sajber kriminalci sve su veštiji u svom poslu i sve ih je teže prepoznati. U posednjem pokušaju da prevare korisnike i dođu do njihovih ličnih i finansijskih podataka, kriminalci su odlučili predstaviti se kao - Google.
Tačnije, korisnici širom sveta počeli su u svoje Gmail elektronske sandučiće primati poruku koja izgleda poput sigurnosnog upozorenja od Googla. Kako je na platformi X objavio programer Nik Džonson, u poruci se navodi da je "Googlu dostavljen sudski poziv u kojem se od njih traži da naprave kopiju sadržaja Gugl računa" primaoca.
U poruci koja izgleda izuzetno uverljivo, navodi se kako primalac (u ovom slučaju Džonson), može proveriti pojedinosti ili uložiti žalbu sledeći vezu na Googlovu stranicu za podršku.
Kad je Džohnson pokušao proveriti poruku, sve je izgledalo legitimno. Poruku je potpisao Google, stigla je s adrese koja je prošla provere autentičnosti koje koristi sam Gmail (radi se o DomainKeys Identified Mail proveri) i svrstana je u primarni inbox, u koji inače dolaze obavesti namenjene direktno primatelju.
Čak je i klik na ponuđenu poveznicu u poruci delovao legitimno - savršeni klon Googlove stranice za žalbe. Uz jednu malu, ali važnu razliku koju većina korisnika, čak i onih koji pomno proveravaju potencijalne lažne poruke, teško može primetiti.
Foto: Tanjug AP/Jens Meyer
Naime, poveznica iz sporne poruke vodi na stranicu na domeni "sites.google.com", što je Googlova domena, ali bila namenjena komercijalnim stranicama i korisnicima koji su želeli imati svoju web stranicu na Google domenu. Ta njihova usluga više nije dostupna, ali stranice s tom domenom i dalje postoje. "Prava" domena koju Google koristi za sve vezano uz korisničke račune je "accounts.google.com".
Lažna poruka koja je prevarila Gmail?
Kako je onda takva poruka prevarila Gmail i sve njegove sastave provere? Zapravo, prevara je izvedena veoma inteligentno.
Google od 1. aprila 2024. godine provodi proveru usklađenosti pošiljaoca masovne e-pošte s proverom autentičnosti pošiljaoca. U prevodu, sastav proverava je li pošiljalac zaista onaj za kojeg se izdaje. Kako bi ceo sastav funkcionisao, Gmail koristi tri koraka - DomainKeys Identified Mail, proveru domena s koje se šalje te proveru samog pošiljaoca.
Sastav je trebao korisnicima Gmaila dati osećaj sigurnosti da će filteri zaustaviti svaku poruku koje nije poslata s adrese legitimnog pošiljatelja. To je bila dobra zamisao, ali kako ovaj poslednji slučaj pokazuje - zlonamerni igrači pronašli su pukotine u tom sastavu.
Foto: Unsplash.com
Objašnjavajući da je napadn e-pošta iskoristila aplikaciju OAuth u kombinaciji s kreativnim zaobilaznim rešenjem za zaobilaženje vrsta zaštitnih mera namenjenih zaštiti od ove vrste pokušaja krađe identiteta, Melisa Bisčoping, voditeljka sigurnosnih istraživanja u Taniumu za Forbes je upozorila da "iako su neke komponente ovog napada nove – i njima se Google pozabavio – napadi koji koriste pouzdane poslovne usluge i uslužne programe nisu ništa novo".
Google je već reagovao
Džonson je na platformi X objavio kako je prijavio ovu, kako naziva "grešku" Googlu i oni su u privatnom odgovoru rekli kako sve funkcioniše kako bi trebalo. No, naknadno je izvestio kako su ga iz Googla obavestili kako će ipak ispraviti "pogrešku".
Autor: Aleksandra Aras
