Baru -baru ini, penjahat cyber mengeksploitasi kerentanan dalam sistem OAuth Google untuk mengirim email phishing yang tampak sah dengan lulus verifikasi DKIM (DomainKeys yang diidentifikasi). Insiden itu terungkap ketika peringatan Google Security yang curang dilaporkan. Serangan itu memanfaatkan infrastruktur Google, mengarahkan korban ke portal dukungan palsu yang meyakinkan yang di-host di domain milik Google untuk mencuri kredensial.
Peretas mengatur kampanye phishing dengan mengeksploitasi cacat yang memungkinkan email berbahaya untuk memotong cek DKIM dan tampak otentik. Serangan itu mendapat perhatian setelah Ethereum Name Service (ENS) insinyur Nick Johnson menerima peringatan panggilan pengadilan palsu, mengungkapkan kelemahan utama dalam standar otentikasi email saat ini.
Para penyerang mengirim email yang meniru pesan yang sah [email protected]berhasil melewati verifikasi DKIM meskipun berasal dari pengirim yang berbeda. Teknik ini, yang dikenal sebagai serangan replay DKIM, menyalahgunakan header email yang sah dan infrastruktur tepercaya Google untuk memotong filter spam tradisional.
Email phishing mengarahkan pengguna ke portal dukungan palsu yang di -host di Google site.google.comyang mereplikasi halaman login Google secara visual. Meskipun ada beberapa tanda ilegal dalam URL, penggunaan domain milik Google membuat serangan itu tampak lebih dapat dipercaya.
Menurut pengembang yang menemukan serangan itu, peretas pertama kali mendaftarkan domain khusus dan membuat akun Google dengan alamat seperti saya@domain. Mereka kemudian membangun aplikasi OAuth yang dinamai sesuai pesan phishing itu sendiri. Dengan memberikan akses aplikasi ke email mereka sendiri, mereka memicu Google untuk mengirim peringatan keamanan DKIM yang ditandatangani-dikirim langsung ke kotak masuk mereka.
Email yang diautentikasi DKIM ini kemudian diteruskan ke korban potensial. Karena DKIM hanya memvalidasi badan pesan dan header (bukan pengirim amplop), sistem keamanan memperlakukan pesan palsu sebagai sah. Gmail bahkan menampilkannya seolah -olah dikirim langsung ke alamat korban sendiri, menutupi tanda -tanda peringatan yang khas.
Perusahaan keamanan email EasyDmarc kemudian menganalisis dan mengkonfirmasi penggunaan teknik replay DKIM. Taktik serupa telah diamati sebelumnya, seperti dalam kampanye phishing pawai yang menargetkan pengguna Paypal. Dalam hal ini, penyerang mengeksploitasi sistem “alamat hadiah” PayPal untuk mendistribusikan email phishing yang diverifikasi DKIM.
Meskipun PayPal menolak berkomentar, Google awalnya berdiri di dekat fungsionalitas sebagaimana dimaksud. Namun, setelah meninjau insiden tersebut, perusahaan mengakui risikonya dan sekarang sedang mengerjakan perbaikan untuk mencegah penyalahgunaan sistem OAuth dan DKIM di masa depan.