Новый фишинговый метод обхода защиты Gmail: обнаружена уязвимость в Google OAuth

Выявлена крайне сложная фишинговая атака, организованная киберпреступниками, в которой используется уязвимость в системе OAuth от Google. Эта атака успешно обходит фильтры безопасности Gmail и механизмы аутентификации, при этом выглядит для пользователей абсолютно легитимной — письма кажутся отправленными с официальных доменов Google и проходят все проверки безопасности, включая DKIM (DomainKeys Identified Mail).

Разработчик Ethereum Name Service (ENS) Ник Джонсон сообщил, что стал жертвой данной атаки. В социальной сети X (бывший Twitter) он написал:

«Недавно я стал целью чрезвычайно сложной фишинговой атаки. Она использует уязвимость в инфраструктуре Google. Учитывая отказ Google устранить эту проблему, можно ожидать, что такие атаки станут только чаще.»

Атака отличается высокой технической сложностью и использует метод, называемый «DKIM replay attack», — повторная отправка подлинных сообщений, подписанных ключом DKIM. В отличие от обычных фишинговых писем с поддельными страницами входа, здесь злоумышленники эксплуатируют реальный процесс авторизации через OAuth.

Как осуществляется атака?

Атака проводится по следующему сценарию:

  1. Злоумышленники регистрируют домен и создают Google-аккаунт с адресом, например, «me@domain».
  2. Затем они регистрируют OAuth-приложение от имени этого аккаунта, в названии которого содержится фишинговое сообщение.
  3. После предоставления приложению доступа к своему адресу электронной почты, Google автоматически отправляет на почту предупреждение о безопасности.
  4. Это сообщение, подписанное действительным DKIM-ключом Google, пересылается потенциальным жертвам.
  5. Письмо приходит с адреса «no-reply@google[.]com» и проходит все проверки подлинности.

В письме, полученном Джонсоном, утверждалось, что в отношении его аккаунта был выдан судебный запрос (subpoena) на предоставление данных, и указывался «официальный» номер дела.

Внутри письма находилась ссылка на страницу, размещённую на домене sites.google.com, но на самом деле ведущую на фишинговый сайт. Ссылка перенаправляла пользователя на поддельную страницу с интерфейсом Google, где злоумышленники пытались выманить учетные данные.

Google признала угрозу

Компания Google подтвердила, что осведомлена об этой атаке и признала, что злоумышленники творчески используют механизмы OAuth и DKIM. В заявлении компания отметила, что работает над устранением проблемы и в ближайшее время будет реализовано полное решение.

Позже Ник Джонсон сообщил следующее:

«Google изменила своё мнение и решила устранить ошибку в OAuth!»

Рекомендации пользователям

Эксперты в области кибербезопасности настоятельно рекомендуют пользователям:

  • Включить двухфакторную аутентификацию (2FA);
  • Использовать технологию passkey, где это возможно;
  • Быть предельно внимательными к письмам, даже если они поступили с доверенных источников.

Особенно важно не переходить по ссылкам и не вводить данные, если письмо требует подтверждения аккаунта или входа в систему. Сегодня фишинговые атаки уже не ограничиваются поддельными сайтами — злоумышленники научились использовать такие доверенные протоколы, как OAuth 2.0, в своих целях.