Pengasas dan pembangun utama Ethereum Name Service telah memberi amaran kepada pengikut X beliau mengenai serangan pancingan data yang "sangat canggih" yang boleh menyamar sebagai Google dan memperdaya pengguna untuk memberikan maklumat log masuk.

Serangan pancingan data ini mengeksploitasi infrastruktur Google untuk menghantar amaran palsu kepada pengguna, memaklumkan bahawa data Google mereka sedang dikongsi dengan pihak berkuasa undang-undang kerana sepina, menurut Encik Nick Johnson dari ENS dalam satu kiriman pada 16 April di X.

“Ia melepasi pemeriksaan tandatangan DKIM, dan GMail memaparkannya tanpa sebarang amaran - malah meletakkannya dalam perbualan yang sama dengan amaran keselamatan yang sah,” katanya.

Sepina palsu kelihatan berasal dari domain no-reply Google. Sumber: Nick Johnson

Sebagai sebahagian daripada serangan ini, pengguna ditawarkan peluang untuk melihat bahan kes atau membantah dengan mengklik pautan halaman sokongan, yang menggunakan Google Sites, alat yang boleh digunakan untuk membina laman web pada subdomain Google, menurut Johnson.

“Dari situ, mungkin mereka mengumpul maklumat log masuk anda dan menggunakannya untuk menjejaskan akaun anda; saya tidak pergi lebih jauh untuk memeriksa,” katanya.

Nama domain Google membuatkan e-mel kelihatan sah, tetapi Johnson menunjukkan masih terdapat tanda-tanda jelas ia adalah penipuan pancingan data — seperti ia dihantar dari alamat e-mel peribadi.

Penipu mengeksploitasi sistem Google

Dalam laporan 11 April, firma perisian EasyDMARC menjelaskan bahawa penipuan pancingan data ini berfungsi dengan memanipulasi Google Sites.

Sesiapa yang mempunyai akaun Google boleh mencipta laman yang kelihatan sah dan dihoskan di bawah domain milik Google yang dipercayai.

Mereka juga menggunakan aplikasi Google OAuth, di mana "trik utama ialah anda boleh meletakkan apa sahaja yang anda mahu dalam medan Nama Aplikasi di Google," dan menggunakan domain melalui Namecheap yang membolehkan mereka "meletakkan no-reply@google sebagai alamat Dari dan alamat balasan boleh jadi apa sahaja."

Sumber: Nick Johnson

“Akhirnya, mereka meneruskan mesej kepada mangsa mereka. Kerana DKIM hanya mengesahkan mesej dan tajuknya dan bukan sampul surat, mesej itu melepasi pengesahan tandatangan dan muncul sebagai mesej sah dalam peti masuk pengguna — malah dalam benang yang sama dengan amaran keselamatan yang sah,” kata Johnson.

Google akan melancarkan langkah balas tidak lama lagi

Bercakap kepada Cointelegraph, jurucakap Google berkata mereka sedar akan isu ini dan sedang menutup mekanisme yang digunakan oleh penyerang untuk memasukkan "teks panjang sewenang-wenangnya," yang akan menghalang kaedah serangan ini daripada berfungsi pada masa hadapan.

Berkaitan: Penggodam menyembunyikan perisian hasad pertukaran alamat kripto dalam pakej tambahan Microsoft Office

“Kami sedar akan kelas serangan yang disasarkan ini dari pelaku ancaman, Rockfoils, dan telah melancarkan perlindungan selama seminggu yang lalu. Perlindungan ini akan segera dilaksanakan sepenuhnya, yang akan menutup jalan penyalahgunaan ini,” kata jurucakap itu.

“Sementara itu, kami menggalakkan pengguna untuk mengamalkan pengesahan dua faktor dan kunci laluan, yang memberikan perlindungan kuat terhadap kempen pancingan data seperti ini.”

Jurucakap itu menambah bahawa Google tidak akan meminta sebarang maklumat akaun peribadi — termasuk kata laluan, kata laluan sekali atau pemberitahuan tolak, mahupun menghubungi pengguna.

Majalah: Kembar digital AI anda boleh menghadiri mesyuarat dan menghibur orang tersayang anda