Krāpnieki, mēģinot nozagt datus, izmantoja īstu tālruni un Google apakšdomēnu.

Programmētājs un Hack Club kopienas dibinātājs Zaks Latta ziņo par mēģinājumu nolaupīt kontu, izmantojot īstus Google datus.

Mēģinātājiem izdevās piezvanīt upurim no Google tālruņa numura, kas norādīts oficiālajā atbalsta vietnē, un pēc tam nosūtīt e-pastu no oficiālā apakšdomēna. Nav skaidrs, kā ļaundari varēja piekļūt Google datiem.

Sieviete, kas sevi dēvēja par Hloju, piezvanīja Latta ar numuru 650-203-0000 un zvanītāja ID "Google". Kā norādīts atbalsta lapā, Google Assistant izmanto šo numuru automātiskiem zvaniem, piemēram, lai rezervētu tikšanās vai pārbaudītu gaidīšanas laiku restorānā.

"Viņa runāja kā īsts inženieris, saziņa bija ārkārtīgi skaidra, un viņai bija amerikāņu akcents," saka programmētājs.

Mēģinātāji, izliekoties par Google Workspace atbalstu, brīdināja, ka viņiem ir bloķējuši Latta kontu, jo tajā kāds ienāca no Frankfurtes. Vīrietis uzreiz aizdomājās, ka tas ir krāpšanas mēģinājums. Viņš lūdza apstiprinājumu pa e-pastu.

Pārsteidzoši, ka hakeri atbildēja "jā" un nosūtīja e-pastu no īstā apakšdomēna g.co, kas pieder Google. E-pasts, kuru nebija iespējams atšķirt no īstiem, nesaturēja nekādus spoofinga pierādījumus, tas izturēja DKIM, SPF un DMARC (e-pasta autentifikācijas protokoli, kas pārbauda e-pastu attiecībā uz spoofing un pikšķerēšanas uzbrukumiem). Pēc Google vārdiem, g.co ir oficiāls apakšdomēns, kas ir rezervēts "tikai Google vietnēm".

"Jūs varat būt droši, ka tas vienmēr jūs aizvedīs pie Google produkta vai pakalpojuma," noradīts domēna lapā.

Krāpnieki skaidroja, ka konts, iespējams, tika uzlauzts kāda Chrome paplašinājuma dēļ. Viņi sagatavoja viltus LinkedIn kontus kā pierādījumu tam, ka viņi strādā Google. "Hloja" mēģināja piespiest upuri sniegt vienu no trim numuriem, kas parādījās viņa telefonā, lai atiestatītu viņa kontu un piekļūtu tam.

"Trakums ir tas, ka, ja es būtu ievērojis divas "labās prakses": pārbaudīt tālruņa numuru + piespiest viņus nosūtīt jums e-pastu no īsta domēna, es būtu kompromitēts," raksta Latta.

Zaks Latta publicēja visus pierādījumus un ierakstīja sarunu pēc tam, kad pārliecinājās, ka tas ir krāpšana. Google vēl publiski komentējusi šo gadījumu, vietne Cybernews sazinājās ar uzņēmumu pēc komentāra.

Nav skaidrs, kā krāpniekiem izdevās piekļūt svarīgām Google funkcijām un apakšdomēniem. Komentētāji pieņem, ka ļaundari varētu būt ieguvuši datus no kāda Google konta, kas daļēji ļauj viņiem piekļūt funkcijām, tomēr viņiem joprojām būtu jāapiet daudzfaktoru autentifikācija, lai pārņemtu kontus.