釣魚手法不斷翻新,近期資安研究人員揭露,駭客正透過一種精心設計的手法,利用 Google 自家通知系統與網域服務,發送看似來自 [email protected] 的詐騙郵件,目的在騙取使用者的帳號密碼。
這波攻擊被稱為「DKIM 重送釣魚攻擊(DKIM replay phishing attack)」,特別具有混淆性,因為郵件通過 Google 的驗證機制 DKIM,讓收件者誤以為寄件者是 Google,但實際上是駭客。
看似 Google 的安全警示,其實是駭客自導自演
據《TechRadar》與《Bleeping Computer》報導,以太坊域名服務(ENS)的主要開發者 Nick Johnson 收到一封看似來自 Google 的郵件,聲稱他的帳戶內容遭到執法單位要求調查。信件使用 Google 官方地址 [email protected] 發送,並夾在其他 Google 安全警示通知之中,真假難辨。
Johnson 進一步調查發現,該郵件的實際寄件人並非 Google,而是駭客成立了一個 Google OAuth 應用程式存取 Google Workspace 中其電子郵件地址的權限,這時 Google 會自動向該郵件發送的安全警報,而駭客再加以轉寄。
具體做法是,駭客先註冊一個域名,建立一組名為 me@domain 的 Google 帳號,再建立一個 OAuth 應用。此外,駭客在應用程式的名稱欄位填入整段釣魚訊息,並加入大量空白字元,將 Google 真正的通知內容擠壓到畫面最下方。
當這個應用獲得存取權限後,Google 便會寄出一封自動通知信給該信箱,而該信的標題與內容如前述,幾乎完全由駭客控制。接著,駭客將這封看似由 Google 發送、並已通過驗證的郵件轉寄給受害者,成功繞過傳統垃圾郵件過濾機制。Johnson 表示,「由於 Google 產生了該電子郵件,因此它是使用有效的 DKIM 金鑰簽署並通過所有檢查的。」
釣魚登入頁面建於 sites.google.com,更具可信度 更具誘騙性的是,該釣魚郵件內含的連結,網站託管在 Google 免費的網頁建置平台 sites.google.com,而非一般可疑網址。Johnson 指出,這個「假入口」幾乎完整複製 Google 登入頁面,唯一破綻就是它的網域並非 accounts.google.com。雖然這對非技術使用者來說幾乎無法辨識,但顯然網域仍是一個重要辨識點。
