هکرها با سوءاستفاده از پروتکل احراز هویت google OAuth، حملات جعل هویت (spoofing) پیشرفتهای را ترتیب دادهاند که در آن از بازپخش امضای دیجیتال DKIM استفاده میشود تا ایمیلهای مخرب بهگونهای ظاهر شوند که گویی از طرف گوگل ارسال شدهاند.
به گزارش تکناک، هکرها اخیراً حملهای پیشرفته را اجرا کردهاند که در آن از زیرساختهای گوگل برای ارسال ایمیلی جعلی استفاده کردهاند؛ ایمیلی که از لحاظ فنی معتبر به نظر میرسد، اما در واقع کاربران را به صفحهای جعلی هدایت میکند تا اطلاعات ورود آنها را جمعآوری کند.
در این حمله، ایمیل مخرب از آدرس «no-reply@google.com» ارسال شده و موفق به عبور از تأیید هویت ایمیل با روش DomainKeys Identified Mail یا همان DKIM شده است. با وجود این، فرستنده واقعی پیام چیز دیگری بوده و هدف نهایی، فریب کاربر برای ورود به پورتالی جعلی جهت سرقت اطلاعات حساب Google او بوده است.
فهرست مطالب
شناسایی توسط توسعهدهنده ENS
به نقل از بلیپینگکامپیوتر، نیک جانسون، توسعهدهنده ارشد پروژه Ethereum Name Service (ENS)، یکی از دریافتکنندگان این ایمیل فیشینگ بوده است. او پیامی با مضمون هشدار امنیتی از سوی گوگل دریافت کرد که به ظاهر ادعا میکرد حکم قضایی برای دسترسی به محتوای حساب او صادر شده است. محتوای ایمیل بسیار متقاعدکننده و حرفهای بود و حتی در کنار سایر هشدارهای امنیتی واقعی در اینباکس نمایش داده شده بود.
با این حال، جانسون متوجه شد که لینک ارائهشده در پیام به آدرسی در «sites.google.com» ختم میشود نه «accounts.google.com». این موضوع شک او را برانگیخت، چراکه «sites.google.com» یک سرویس ساخت وبسایت رایگان است که هر کسی میتواند از آن استفاده کند.
حیله فنی: حمله بازپخش DKIM
جانسون پس از بررسی دقیقتر، فهمید که این حمله بر پایه ضعف در سیستم DKIM استوار بوده است. در روش DKIM، تنها محتوا و هدر ایمیل بررسی میشود، نه پاکت واقعی آن. در نتیجه، هکرها با استفاده از روش بازپخش DKIM (DKIM Replay) موفق به جعل ایمیلی شدند که از نظر سیستمهای امنیتی کاملاً معتبر به نظر میرسید.
مهاجم ابتدا یک دامنه جدید ثبت کرده و حساب Google با ایمیل me@domain ایجاد کرده است. سپس یک اپلیکیشن OAuth ساخته و نام آن را به شکل کامل متن فیشینگ تنظیم کرده است. با دادن دسترسی این اپلیکیشن به حساب کاربری، Google به طور خودکار یک ایمیل هشدار امنیتی ارسال میکند. این ایمیل به دلیل آنکه توسط زیرساخت Google تولید شده، دارای امضای معتبر DKIM بوده و تمام فیلترهای امنیتی را پشت سر میگذارد.
در نهایت، هکر این پیام امنیتی را برای قربانیان فوروارد میکند، و از آنجا که ایمیل به نظر میرسد مستقیماً از Google آمده، اعتماد کاربران را جلب میکند.
مشابه این حمله در PayPal نیز گزارش شده است
بر اساس گزارشی از وبسایت BleepingComputer، مشابه این حمله در ماه مارس علیه کاربران PayPal نیز انجام شده است. در آن مورد، مهاجمان با استفاده از گزینه «gift address» در PayPal، ایمیلی جعلی ثبت کرده و متن فیشینگ را در یکی از فیلدهای آدرس وارد کردهاند. سپس تأییدیهای که از سوی PayPal ارسال شده، به گروهی از کاربران هدف فوروارد شده است.
واکنش گوگل و عدم پاسخ پیپل
در ابتدا، گوگل اعلام کرد که فرآیند بهدرستی کار میکند و مشکل امنیتیای وجود ندارد. اما پس از گزارش جانسون و بررسیهای بیشتر، این شرکت اعلام کرد که این مورد میتواند تهدیدی برای کاربران باشد و در حال حاضر در حال کار بر روی اصلاح ضعف موجود در فرآیند OAuth است.
از سوی دیگر، پیپل هنوز پاسخی رسمی به این موضوع نداده است.
جمعبندی
این حمله نشان میدهد که حتی زیرساختهای معتبر مانند Google و PayPal نیز میتوانند توسط مهاجمان مورد سوءاستفاده قرار گیرند. اعتماد صرف به آدرس ایمیل یا عبور از بررسیهای DKIM کافی نیست و کاربران باید همواره به آدرس لینکها و جزئیات بیشتر در پیامها توجه ویژهای داشته باشند.
