הונאת פישינג חדשה מצליחה להיראות כמו הודעת אבטחה רשמית מגוגל

מערכת Gmail. תמונה Pixabay

כשמדובר באבטחת מידע, גוגל נחשבת לאחת החברות המאובטחות בעולם. מערכות האימות שלה, כמו SPF, DKIM ו-DMARC, נחשבות לקו ההגנה הראשון נגד התחזות, והיא מפעילה תשתיות מתקדמות שמסננות מיליארדי הודעות דוא"ל מדי יום. כל הודעת אימייל שעוברת דרך המערכת של גוגל נסרקת, נבדקת ונחתמת על פי פרוטוקולים מהודקים, כדי לוודא את זהות השולח ואת תקינות התוכן. אבל פרצה מתוחכמת שהתגלתה לאחרונה מראה שגם הענקית הזאת לא חסינה לגמרי ואפילו עלולה לשמש בעצמה ככלי להפצת הונאות.

ניק ג'ונסון, המפתח הראשי של Ethereum Name Service, היה הראשון שחשף את המתקפה, לאחר שכמעט נפל קורבן בעצמו. ג'ונסון קיבל התראת אבטחה שהציגה את עצמה כהודעה רשמית מגוגל, תחת כתובת השולח no-reply@google.com, חתימת DKIM תקפה, ופורמט זהה להתראות האמיתיות שמערכת ג'ימייל שולחת. ההודעה התריעה על צו חיפוש נגדו מטעם רשויות האכיפה, והפנתה אותו לאתר תמיכה שבו התבקש לאמת את פרטי חשבון הגוגל שלו.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

במבט ראשון, הכול נראה תקין. ההודעה שובצה אוטומטית בין התראות האבטחה הרגילות, עברה את כל סינוני האבטחה, ולא כללה שום סימן ברור להונאה. אבל פרט קטן אחד הדליק אצל ג'ונסון נורה אדומה: הקישור בפנים הפנה לכתובת באתר sites.google.com, פלטפורמת אתרים של גוגל, ולא לכתובת המוכרת accounts.google.com. החשד הזה הוביל אותו לבדיקה מעמיקה יותר, שבה גילה איך ההונאה נבנתה שלב אחר שלב.

איך ההונאה פעלה?

המתקפה ניצלה את העובדה שגוגל מאפשרת לכל משתמש ליצור אפליקציית OAuth ולשלוח לעצמו התראות על גישה. התוקף יצר חשבון עם כתובת מהסוג me@domain, בנה אפליקציה בשם שמכיל את טקסט הפישינג כולו (כולל רווחים שמסתירים את ההמשך), ואישר לה גישה לחשבון. כתוצאה מכך, גוגל שלחה התראה אוטומטית לכתובת זו, הודעה שהיא עצמה יצרה, חתמה, ואישרה. התוקף העביר את ההודעה הזו הלאה לקורבנות, שקיבלו מייל שנראה לגמרי מקורי ואמין.

ופה מגיע החלק החשוב: למרות שהשולח האמיתי לא היה גוגל, מערכת האימות זיהתה את המייל כלגיטימי. למה? כי פרוטוקול DKIM בודק את התוכן ואת שדות הכותרת של ההודעה אבל לא את המעטפה. כלומר, ברגע שגוגל יצרה את ההודעה, גם אם התוקף הוא זה שיזם את התהליך, היא נחשבת תקינה לכל דבר. השימוש בשם משתמש כמו me@ גם גרם לכך שג'ימייל הציגה את ההודעה כאילו נשלחה ישירות לנמען, מה שהגביר את האמינות עוד יותר.

במילים אחרות, התוקף הצליח להפוך את תשתיות האבטחה של גוגל לכלי להפצת הפישינג שלו והכול מבלי לשבור שום פרוטוקול אבטחה, אלא רק על ידי ניצול יצירתי של האפשרויות שגוגל עצמה מציעה למשתמשים.

השיטה הזו לא מוגבלת רק לגוגל. על פי דיווח של אתר BleepingComputer גם פייפאל נפלה למתקפה שכזו. קמפיין דומה שבו תוקפים ניצלו את האפשרות להוסיף "כתובת מתנה" לחשבון פייפאל, והזינו שם הודעת פישינג. פייפאל שלחה אישור אוטומטי להוספת הכתובת, שגם הוא עבר חתימת DKIM תקפה וההודעה הועברה הלאה לרשימת תפוצה שכללה את הקורבנות.

ג'ונסון דיווח על הפרצה לגוגל, אך בתחילה נענה שהתנהגות המערכת תקינה. רק לאחר זמן מה החברה חזרה בה, הכירה בכך שמדובר בסיכון ממשי למשתמשים, והודיעה כי היא פועלת כעת לתיקון מנגנון ה-OAuth שנוצל במתקפה. אז בפעם הבאה שאתם מקבלים מייל שנראה רשמי באופן מוחלט, שווה עדיין להעיף מבט ולבחון שוב שאתם באמת במקום אליו הייתם אמורים להגיע, שלא תגידו שלא הזהרנו.