騙徒利用Google的服務,發送假的執法部門調查通知,令訊息看似是來自accounts.google.com,更附有連結帶到Google的支援網頁, 該域名也看似屬於Google,但其實一切都是新的網絡釣魚活動。
釣魚電郵偽裝Google官方通知
釣魚電郵冒充來自Google安全系統的警告,訊息通知用收件者Google收到法庭傳票,要求存取收件者在Google帳號內的資料。由於寄件人位置的「no-reply@accounts.google.com」是Google的地址,也是正式的Google的安全通知地址,其中也包含Google Account ID、支援票號和個案連結等資料令電郵更像真,如果收件者想對案件瞭解更多或對傳票提出異議,可以點擊提供的連結。連結本身看來相當正常,地址包括官方Google網域和以文提過的支援票號,只有精明的用戶才能發現端倪,Google支援網頁位於support.google.com,但連結則是指向sites.google.com。
如果用戶沒有登入的情況下點擊連結,便會被帶到真實Google帳號登入網頁,登入後才到達sites.google.com,一個頗期說服力的偽官方Google支援網站。其實sites.google.com是屬於合法Google Sites服務,在2008年推出,是一款頗為簡單的網站建立工具(雖然沒有甚麼特色),當中的重點是平台上建立的所有網站,都會自動託管在google.com的子網域sites.google.com上。攻擊者可藉此來降低受害者的驚覺性,並規避不同的保安系統,利用了用戶和保安方案對Google網域的信任,而使用這種方法的騙徒有上升趨勢。
魔鬼在細節
上文已提及了可疑電郵的第一個跡象,位於sites.google.com的假支援網頁,再仔細查看電郵標題時,可以發現更多危險的蛛絲馬跡。需要注意的位置是「from」、「to」和「mailed-by」的位置,「from」是no-reply@accounts.google.com看似正常,但「to」的me[@]googl-mail-stmp-out-198-142-125-38-prod[.]net則相當可疑,儘管它嘗試看起來像技術性的地址,但公司域名錯字已經說明一切,而且正常的公司在這個位置應該包含收件者的電郵。至於「mailed-by」位置更不可能與Google有關「fwd-04-1.fwd.privateemail[.]com。
以上細微的跡像通常會被普通用戶忽略,尤其因為即將面臨官司麻煩而恐懼時,加上這封假電郵真的是由Google簽署,「signed-by」顯示為accounts.google.com,更容易令受害者信以為真。
拆解攻擊步驟
研究人員發現攻擊者使用Namecheap登記(已撤銷)googl-mail-smtp-out-198-142-125-38-prod[.]net網域,然後再次使用相同服務試定免費電郵帳號me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net,此外,犯罪份子以相同域名登記一個免費的試用版Google Workspace,隨後騙徒登記他們的網絡應用程式到Google OAuth系統,獲得Google Workspace帳號的存取權。Google OAuth是一款容許第三方網絡應用程式利用Google帳號資料,在獲得使用者許可的情況下驗證用戶的身份,「使用Google登入」的按鈕正是使用這個系統,而應用程式也可以使用Google OAuth來取得權限,例如把檔案儲存到你的Google Drive。
騙徒在登記OAuth應用程式後,服務容許向已驗證網域相關的電郵郵件地址發送通知,其中最關鍵是網絡應用程式的管理員可以自由手動輸入任何文字作為「應用程式名字」,這正是犯罪份子濫用之處,Google之後便會以官方地址發送含有釣魚內容的安全警告,電郵發送到詐騙者通過Namecheap登記的網域上的電郵地址,這服務能夠把收到的Google通知轉發到任何地址,攻擊者只需設定特定轉寄規則和潛在受害者的地址。
防範冒充Google的網絡釣魚攻擊
現時仍未知道攻擊者想藉此釣魚活動達到甚麼目標,使用Google OAuth驗證並不代表受害者的Google帳號資料與騙徒分享,過程只會生產token提供有限存取用戶帳號資料,資料內容根據用戶批准及騙徒設定而異。假Google Support網頁試圖遊說用戶下載所謂的「法律文件」,現時未知文件的性質,但很可能含有惡意程式碼。研究人員已向Google通報有關的釣魚活動,而相關的安全漏洞修復工作正在進行,所需時間現時未明。
在這種情況下,以下的建議能協助用戶避免成為類似的釣魚活動受害者:
- 在收到類似的電郵時保持冷靜,首先小心檢查所有電郵的詳情,與真的Google電郵進行對比,發現可疑之處就可以毫不猶豫按下刪除。
- 對使用Google Sites在google.com網域建立的網站提高警剔,近期越來越多騙徒使用這種方法詐騙。
- 適用於任何情況,不要點擊電郵內的連結。
- 使用可靠的保安方案能有效警告和攔截釣魚連結
資料來源:Kaspersky Blog
