Google предупредила пользователей Gmail о новой фишинговой кампании, в которой злоумышленники используют сервис Google Sites для маскировки под официальные уведомления. Ссылки ведут на поддельные страницы входа, визуально идентичные настоящим, и собирают учетные данные пользователей.
Особенность атаки — высокое качество маскировки: письма проходят проверку методом обнаружения подделки писем электронной почты, использующим цифровую электронную подпись с открытым ключом (DKIM), отображаются в одном потоке с реальными уведомлениями Google и используют адреса вида sites.google.com.
Компания признала уязвимость только после того, как Ник Джонсон, разработчик, связанный с криптовалютной платформой Ethereum, сообщил о том что чуть не попался на уловки мошенников в социальных сетях.
Google заявила, что лазейка уже закрыта, но подобные атаки могут повторяться.
Этот инцидент с использованием сервиса Google Sites для фишинговой атаки наглядно демонстрирует, как даже широко используемые экосистемы могут становиться инструментом в руках злоумышленников, отметил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«В данной кампании фишеры сумели обойти механизмы защиты, такие как DKIM, и визуально неотличимо подделали фирменные уведомления Google. Это подчеркивает уровень изощрённости современных фишинговых атак и их адаптивность к защитным мерам», — подчеркнул он.
При этом поддельные письма отображаются в одном потоке с реальными уведомлениями Google, что делает их практически незаметными даже для внимательных пользователей и увеличивает риск компрометации учётных данных. Использование поддоменов Google также снижает уровень подозрений, особенно у менее технически подкованных пользователей.
«Важно отметить, что реакция Google последовала лишь после публичного сигнала со стороны уважаемого разработчика, что ставит под вопрос оперативность внутренних механизмов реагирования на угрозы. Такая задержка в признании проблемы может стоить безопасности множества пользователей, особенно если атака быстро масштабируется», — подчеркнул Немкин.
Чтобы эффективно противостоять подобным угрозам, одной технической защиты недостаточно. Необходима постоянная просветительская работа с пользователями — обучение, как отличать фальшивые письма, анализировать URL-адреса и использовать инструменты вроде двухфакторной аутентификации. Без повышения цифровой грамотности даже самые продвинутые системы безопасности не смогут полностью устранить риск, заключил депутат.
