Gmail xavfsizlik tizimini aldab o‘tayotgan yangi fishing hujum: Google OAuth’da zaiflik aniqlandi

Kiberjinoyatchilar tomonidan amalga oshirilgan nihoyatda murakkab fishing hujumi aniqlanib, u orqali Google’ning OAuth tizimidagi zaiflikdan foydalanilgan. Ushbu hujum Gmail’ning xavfsizlik filtrlari va autentifikatsiya mexanizmlarini aylanib o‘tib, foydalanuvchilarga mutlaqo ishonchli ko‘rinadi — sababi xatlar asl Google domenlaridan yuborilgandek ko‘rinadi va DKIM (DomainKeys Identified Mail) kabi xavfsizlik tekshiruvlaridan muammosiz o‘tadi.

Ethereum Name Service (ENS) ishlab chiquvchisi Nik Jonson ushbu tahdid qurbonlaridan biri bo‘lganini e’lon qildi. U hujum haqida X (avvalgi Twitter) ijtimoiy tarmog‘ida shunday yozdi:

“Yaqinda men juda murakkab fishing hujumiga nishon bo‘ldim. Bu hujum Google infratuzilmasidagi zaiflikdan foydalanadi. Google bu muammoni bartaraf qilishni rad etayotganini inobatga olib aytishim mumkinki, bunday hujumlar yanada ko‘payadi.”

Hujum texnik murakkablik jihatidan yuqori darajada bo‘lib, u DKIM autentifikatsiyasi orqali amalga oshiriladigan “DKIM replay attack” deb ataluvchi usuldan foydalanadi. Oddiy fishing xatlaridan farqli o‘laroq, bu hujumda foydalanuvchilardan login parollarini so‘raydigan soxta sahifalar emas, balki haqiqiy OAuth avtorizatsiya jarayoni vositaga aylangan.

Hujum qanday amalga oshiriladi?

Mazkur hujum bosqichma-bosqich quyidagicha ishlaydi:

  1. Hujumchilar o‘zlariga tegishli domenni ro‘yxatdan o‘tkazishadi va “me@domain” kabi foydalanuvchi nomi bilan Google hisob yaratishadi.
  2. Keyin ular phishing mazmunidagi xabarni o‘z ichiga olgan Google OAuth ilovasini yaratuvchi sifatida ro‘yxatdan o‘tkazishadi.
  3. Ushbu ilovaga o‘zlarining email manzillaridan ruxsat berganlarida, Google avtomatik tarzda xavfsizlik haqida ogohlantiruvchi xatni ularning pochta manzillariga yuboradi.
  4. Ana shu xat — haqiqiy Google DKIM kaliti bilan imzolangan bo‘lib — keyinchalik qurbonlarga yuboriladi.
  5. Xat manbasi “no-reply@google[.]com” bo‘lib, barcha xavfsizlik tekshiruvlaridan muvaffaqiyatli o‘tadi.

Jonsonga yuborilgan xatda Google LLC kompaniyasiga uning akkaunt ma’lumotlarini taqdim etish bo‘yicha “sud chaqiruvi” (subpoena) yuborilgani haqidagi rasmiy ohangdagi bayonot va ish raqami keltirilgan.

Xat ichida esa foydalanuvchini sites.google.com domenida joylashgan, lekin phishing sahifasi bo‘lgan havolaga yo‘naltiruvchi link mavjud bo‘lgan. Havola foydalanuvchini Google’ning interfeysiga o‘xshash soxta sahifaga yo‘naltirib, uning hisob ma’lumotlarini o‘g‘irlashga qaratilgan.

Google ushbu hujum kampaniyasidan xabardorligini tasdiqladi va tahdid OAuth va DKIM mexanizmlarining noodatiy ishlatilishi orqali amalga oshirilayotganini bildirdi. Kompaniya bu zaiflikni bartaraf etish choralarini ko‘rayotganini va yaqin orada to‘liq yechim joriy qilinishini ma’lum qildi.

Nik Jonson esa o‘zining keyingi postida quyidagilarni yozdi:

“Google fikrini o‘zgartirdi va OAuth’dagi xatoni bartaraf etishga qaror qildi!”

Foydalanuvchilarga tavsiyalar

Mutaxassislar foydalanuvchilarga quyidagi ehtiyot choralarini ko‘rishni qat’iy tavsiya qilishmoqda:

  • Ikki bosqichli autentifikatsiyani (2FA) yoqish;
  • Passkey texnologiyasidan foydalanish;
  • Hatto ishonchli ko‘rinadigan manbalardan kelgan elektron xatlar haqida ham hushyor bo‘lish.

Ayniqsa, akkaunt tasdiqlash yoki login ma’lumotlarini kiritishni talab qiluvchi xabarlarga e’tiborli bo‘lish kerak. Sababi, endilikda fishing hujumchilari oddiy firibgarlik sahifalaridan foydalanmayapti — ular OAuth 2.0 kabi ishonchli mexanizmlarni ustalik bilan ekspluatatsiya qilishmoqda.