Пользователи Gmail получают подозрительные письма от Google (фото: Unsplash)
Фишинг уже много лет представляет собой опасную игру: как только технологические компании блокируют одну схему, на ее месте появляется новая. Однако сейчас в оборот пошло новое фишинговое письмо, которое каким-то образом успешно проходит проверку Google и Gmail.
Об этом сообщает РБК-Украина (проект Styler) со ссылкой на издание Android Authority, специализирующееся на новостях об Android и технологиях.
Подробности фишинга в Gmail
Разработчик Ник Джонсон сообщил в Х (Twitter), что стал жертвой сложной фишинговой атаки, которая выглядела так, будто пришла от Google. По его словам, письмо было отправлено с адреса no-reply@accounts.google.com и действительно было подписано как accounts.google.com. Более того, Gmail не показал никаких предупреждений.
В письме содержалась ссылка на страницу в sites.google.com, которая в действительности оказывалась поддельной страницей поддержки. Стоит отметить, что Google Sites — это официальный сервис Google, позволяющий создавать сайты. Вероятно, злоумышленники выбрали именно эту платформу, чтобы обмануть пользователей, создавая впечатление, будто они находятся на официальной странице Google.
The first thing to note is that this is a valid, signed email — it really was sent from no-reply@google.com. It passes the DKIM signature check, and GMail displays it without any warnings — it even puts it in the same conversation as other, legitimate security alerts. pic.twitter.com/GxlFR6ccLG
— nick.eth (@nicksdjohnson) April 16, 2025
При нажатии на кнопки «Просмотреть запрос» или «Загрузить дополнительные документы» пользователь попадал на поддельную страницу входа, также размещенную на sites.google.com.
По словам Джонсона, эта фишинговая атака стала возможной из-за двух уязвимостей, которые Google изначально отказался устранять. Во-первых, он предложил компании отключить скрипты и произвольные внедрения на страницах Google Sites. Во-вторых, его обеспокоило, что письмо было подписано как accounts.google.com.
Однако, если внимательно посмотреть на поле «mailed-by», видно, что оно пришло с домена privateemail.com.
Оказалось, что злоумышленники зарегистрировали собственный домен и создали Google-аккаунт, связанный с этим доменом. Далее они создали OAuth-приложение Google и в качестве имени приложения указали текст самого фишингового письма. После этого они дали своему Google-аккаунту доступ к созданному приложению, в результате чего от имени Google было отправлено письмо безопасности. Затем это сообщение пересылалось жертвам.
Джонсон сообщил об уязвимости, но Google изначально закрыл отчет, заявив, что такое поведение является штатным. Однако позже компания изменила свое решение и согласилась устранить проблему с аутентификацией.
Так или иначе, это крайне правдоподобная фишинговая атака, и пользователям стоит быть особенно внимательными.
Стоит отметить, что ранее уже сообщалось о похожей схеме: тогда пользователям рассылались фальшивые письма восстановления безопасности, отправленные якобы от имени Google, а также поступали звонки с поддельными номерами поддержки Google.
Запрос в службу поддержки (фото: X/NicksDJohnson)
