小心來自「no-reply@google.com」的 email,它現在可能是駭客網路釣魚
釣魚手法不斷翻新,近期資安研究人員揭露,駭客正透過一種精心設計的手法,利用 Google 自家通知系統與網域服務,發送看似來自 no-reply@google.com 的詐騙郵件,目的在騙取使用者的帳號密碼。
這波攻擊被稱為「DKIM 重送釣魚攻擊(DKIM replay phishing attack)」,特別具有混淆性,因為郵件通過 Google 的驗證機制 DKIM,讓收件者誤以為寄件者是 Google,但實際上是駭客。
看似 Google 的安全警示,其實是駭客自導自演
據《TechRadar》與《Bleeping Computer》報導,以太坊域名服務(ENS)的主要開發者 Nick Johnson 收到一封看似來自 Google 的郵件,聲稱他的帳戶內容遭到執法單位要求調查。信件使用 Google 官方地址 no-reply@google.com 發送,並夾在其他 Google 安全警示通知之中,真假難辨。
Johnson 進一步調查發現,該郵件的實際寄件人並非 Google,而是駭客成立了一個 Google OAuth 應用程式存取 Google Workspace 中其電子郵件地址的權限,這時 Google 會自動向該郵件發送的安全警報,而駭客再加以轉寄。
具體做法是,駭客先註冊一個域名,建立一組名為 me@domain 的 Google 帳號,再建立一個 OAuth 應用。此外,駭客在應用程式的名稱欄位填入整段釣魚訊息,並加入大量空白字元,將 Google 真正的通知內容擠壓到畫面最下方。
當這個應用獲得存取權限後,Google 便會寄出一封自動通知信給該信箱,而該信的標題與內容如前述,幾乎完全由駭客控制。接著,駭客將這封看似由 Google 發送、並已通過驗證的郵件轉寄給受害者,成功繞過傳統垃圾郵件過濾機制。Johnson 表示,「由於 Google 產生了該電子郵件,因此它是使用有效的 DKIM 金鑰簽署並通過所有檢查的。」
釣魚登入頁面建於 sites.google.com,更具可信度
更具誘騙性的是,該釣魚郵件內含的連結,網站託管在 Google 免費的網頁建置平台 sites.google.com,而非一般可疑網址。Johnson 指出,這個「假入口」幾乎完整複製 Google 登入頁面,唯一破綻就是它的網域並非 accounts.google.com。雖然這對非技術使用者來說幾乎無法辨識,但顯然網域仍是一個重要辨識點。
根據《Bleeping Computer》,Google 驗證系統中的一個弱點是,DKIM 驗證機制只檢查郵件的內容與標頭資訊(例如寄件人名稱、主旨),不檢查傳送封套,也就是實際傳送路徑與真正的寄件人,因此,駭客的信件能順利被認定為來自 Google 系統所發。
此外,駭客設計一個 email 帳號叫做 me@某個網域,而 Gmail 在顯示郵件時,會把收件人簡化為「me」,這會讓收件者誤以為這封信就是寄給「自己」的,增加誤判機率。
相同手法也出現在 PayPal 平台
這套攻擊手法不僅限於 Google。根據《Bleeping Computer》追蹤,今年 3 月有釣魚集團針對 PayPal 用戶發動類似攻擊。駭客在新增 PayPal 帳號時,將釣魚訊息寫入帳號名稱欄位,再利用 PayPal 的「禮物地址」選項綁定該帳號,觸發由 PayPal 發出的確認信。
這封確認信經 DKIM 簽章驗證,與 PayPal 官方信件無異,駭客再將該信轉寄至公開郵件清單或目標名單,以誘騙受害者登入仿冒網站,輸入帳號密碼。
Johnson 已向 Google 提出錯誤報告,Google 回應已著手處理 OAuth 權限機制的防護問題。
企業導入 AI 為何須重新思考資安?揭開資安攻擊的新破口 >>看專題<<
【推薦閱讀】
◆ 日本 1,454 起證券交易遭駭客「網路釣魚」,日監管機構揭交易者 5 重點自保
* 本文部分初稿由 AI 生成,經《TechOrange》編撰,資料來源:《Bleeping Computer》、《TechRadar》、Nick Johnson,首圖來源:Unsplash。