Программист и основатель сообщества Hack Club Зак Латта сообщил о попытке похищения учетной записи с использованием подлинных данных Гугл.
Мошенникам удалось позвонить жертве с номера телефона Google, который указан на официальном сайте поддержки, а затем отправить электронное письмо с официального субдомена. Непонятно, как злоумышленники могли получить доступ к данным Google.
Женщина, представившаяся как Хлоя, позвонила Латти с номера 650-203-0000 с идентификатором абонента «Google». Как говорится на странице поддержки, Google Assistant использует этот номер для автоматических звонков, например для назначения бронирований или проверки времени ожидания в ресторане.
«Она говорила как настоящий инженер, связь была чрезвычайно четкой, и у нее был американский акцент», — говорит программист.
Мошенники, выдавая себя за службу поддержки Google Workspace, предупредили, что они заблокировали учетную запись Латты, поскольку кто-то вошел в нее из Франкфурта. Мужчина сразу заподозрил, что это попытка мошенничества. Он попросил подтверждения по электронной почте.
На удивление, хакеры ответили «да» и прислали электронное письмо с настоящего субдомена g.co, который принадлежит Google. Сообщение электронной почты, которое невозможно отличить от настоящего, не содержало никаких признаков спуфинга, оно прошло DKIM, SPF и DMARC (протоколы аутентификации электронной почты, которые проверяют электронную почту на спуфинг и фишинговые атаки). Согласно Google, g.co является официальным субдоменом, предназначенным «только для веб-сайтов Google».
«Вы можете быть уверены, что он всегда переведет вас к продукту или услуге Google», — говорится на странице домена.
Мошенники объяснили, что учетная запись, вероятно, была взломана из-за расширения Chrome. Они подготовили мошеннические учетные записи LinkedIn в качестве доказательства того, что они работают в Google. «Хлоя» пыталась заставить жертву предоставить один из трех номеров, которые появились на его телефоне, чтобы сбросить его учетную запись и получить доступ к ней.
«Безумие в том, что если бы я придерживался двух «лучших практик»: подтвердить номер телефона + заставить их отправить вам электронное письмо с законного домена, я был бы скомпрометирован», — пишет Латта.
Зак Латта опубликовал все доказательства и записал разговор после того, как убедился, что это мошенничество. Google пока публично не прокомментировал этот случай, сайт Cybernews обратились в компанию за комментарием.
Непонятно, как мошенники могли получить доступ к важным функциям и субдоменам Google. Комментаторы предполагают, что злоумышленники могли получить данные какой-то учетной записи Google, которые частично дают им доступ к функциям, но они все еще нуждаются в обходе многофакторной аутентификации, чтобы перехватывать учетные записи.
Более 18 тыс. неквалифицированных хакеров поразил XWorm RAT — зараженный конструктор вредоносного ПО
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: