حمله فیشینگ با سوءاستفاده از سرویس‌های گوگل

گوگل اخیراً هشدار داده است که کلاه‌برداران با استفاده از سرویس‌های خود این شرکت، به‌ویژه Google Sites و سیستم احراز هویت OAuth، اقدام به راه‌اندازی حملاتی کرده‌اند که کاربران را با ایمیل‌های به ظاهر رسمی فریب می‌دهند.

این ایمیل‌ها ادعا می‌کنند که گوگل احضاریه‌ای از یک نهاد قانونی دریافت کرده و باید اطلاعات حساب کاربر را تحویل دهد. نکته نگران‌کننده اینجاست که همه چیز کاملاً واقعی به نظر می‌رسد.

این پیام‌ها از آدرسی ارسال می‌شوند که کاملاً مشابه اعلان‌های امنیتی رسمی گوگل است:no-reply@accounts.google.com.ایمیل شامل شماره تیکت، شناسه کاربری و لینکی است که ظاهراً به صفحه پشتیبانی گوگل هدایت می‌شود. اما لینک به جای support.google.com به sites.google.com ختم می‌شود؛ سرویسی که گوگل برای ساخت سایت‌های ساده ارائه می‌دهد. همین دامنه باعث می‌شود بسیاری از کاربران متوجه جعلی بودن آن نشوند.

در این حمله، اگر کاربر وارد حساب گوگل خود نشده باشد، ابتدا به صفحه ورود رسمی هدایت می‌شود و پس از ورود، به یک صفحه پشتیبانی جعلی منتقل می‌گردد. این صفحه با Google Sites ساخته شده و کاملاً مشابه صفحات واقعی پشتیبانی طراحی شده است.

هدف مهاجمان از این نوع حمله چیست؟ در ایمیل یا صفحه جعلی، کاربران معمولاً به دانلود فایل‌هایی تشویق می‌شوند که با عنوان «اسناد حقوقی مربوط به احضاریه» ارائه شده‌اند. احتمالاً این فایل‌ها حاوی بدافزار یا ابزار‌هایی برای دسترسی به اطلاعات کاربر هستند.یکی از دلایل موفقیت این حملات، استفاده از سرویس‌های واقعی گوگل است.

برای مثال، دامنه sites.google.com به خود گوگل تعلق دارد؛ بنابراین بسیاری از فیلتر‌های امنیتی و کاربران، اعتماد بیشتری به آن نشان می‌دهند.

در بررسی‌های فنی انجام‌شده توسط محققان امنیت سایبری، مشخص شد که مهاجمان دامنه‌ای جعلی با نامی شبیه به سرویس‌های گوگل ثبت کرده‌اند؛  مثلاً “googl-mail…” به جای “google-mail…” آنها سپس یک حساب Google Workspace آزمایشی در همین دامنه راه‌اندازی کرده‌اند. با استفاده از این حساب، اپلیکیشنی را در Google OAuth ثبت کرده‌اند ، سیستمی که اجازه می‌دهد اپ‌ها با اجازه کاربر به اطلاعات حساب گوگل دسترسی داشته باشند.

نکته کلیدی در این روش آن است که هنگام ثبت اپلیکیشن، گوگل به مدیر دامنه یک ایمیل امنیتی ارسال می‌کند که در آن، نام اپلیکیشن نمایش داده می‌شود. مهاجمان در قسمت نام اپلیکیشن، متن فیشینگ و لینک‌های مخرب خود را وارد کرده‌اند.

این باعث می‌شود گوگل، بدون دخالت انسانی، ایمیلی رسمی با ظاهر کاملاً معتبر، اما با محتوای جعلی ارسال کند. سپس، با استفاده از سرویس Namecheap که قابلیت فوروارد کردن ایمیل دارد، پیام را به قربانیان ارسال می‌کنند.

در بررسی دقیق‌تر هدر ایمیل، چند سرنخ از جعلی بودن آن مشخص می‌شود:آدرس «to» و «mailed-by» با آدرس‌های رسمی گوگل مطابقت ندارد.استفاده از دامنه‌های مشکوک با اشتباهات تایپی مثل "googl" به جای "google"در فیلد «signed-by» ممکن است accounts.google.com درج شده باشد، اما این امضا به‌تنهایی دلیلی بر اصالت پیام نیست.

گوگل تأیید کرده که در حال بررسی این شیوه سوءاستفاده است و اصلاحاتی برای کاهش آسیب‌پذیری سیستم OAuth در دست اقدام دارد، هرچند زمان دقیقی برای رفع کامل مشکل اعلام نکرده است.

چگونه با این حملات مقابله کنیم؟

آرامش خود را حفظ کنید.

اگر ایمیلی با موضوع اضطراری دریافت کردید، بدون عجله به بررسی دقیق آن بپردازید.

لینک‌ها را بررسی کنید.  فقط به ظاهر دامنه اکتفا نکنید. حتی دامنه‌های google.com هم ممکن است جعلی باشند، مثل sites.google.com که متعلق به سرویس‌های کاربرمحور است.

هدر ایمیل را بررسی کنید.  به آدرس‌های «to»،  «mailed-by» و «signed-by» توجه کنید.

از کلیک مستقیم روی لینک‌های ایمیل پرهیز کنید.  در صورت نیاز، به‌صورت دستی به سایت رسمی بروید.

از ابزار‌های امنیتی قدرتمند استفاده کنید.  آنتی‌ویروس، فایروال و افزونه‌های ضد فیشینگ مرورگر می‌توانند کمک‌کننده باشند.

درباره روش‌های فیشینگ مطالعه کنید.  آگاهی مهم‌ترین ابزار مقابله است.اگرچه فیشینگ تکنیک جدیدی نیست، اما استفاده از زیرساخت‌های قانونی شرکت‌هایی مانند گوگل برای اجرای آن، این حملات را پیچیده‌تر و خطرناک‌تر کرده است. هوشیاری کاربران، بررسی دقیق و استفاده از منابع قابل اعتماد بهترین راه برای مقابله با چنین تهدیداتی است.