ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
การโจมตีฟิชชิ่งรูปแบบใหม่ที่แฮกเกอร์ใช้จุดอ่อนในระบบ Google OAuth เพื่อปลอมเป็นการแจ้งเตือนจาก Google โดยผ่านเทคนิคที่เรียกว่า “DKIM replay phishing attack” ซึ่งช่วยให้ข้อความอีเมลหลอกลวงผ่านการตรวจสอบความถูกต้องของ DKIM ได้แม้ว่าข้อความดังกล่าวจะเป็นของปลอมก็ตาม
ในรูปแบบการโจมตีนี้ แฮกเกอร์สร้างอีเมลปลอมที่ดูเหมือนว่าจัดส่งมาจากระบบของ Google โดยใช้ที่อยู่อีเมล “no-reply@google.com” และใช้ลายเซ็น DKIM ที่ถูกต้อง เนื่องจากข้อบกพร่องในการตรวจสอบที่เน้นเฉพาะเนื้อหาและส่วนหัวของอีเมล (header) โดยไม่พิจารณาข้อมูลใน envelope มิฉะนั้นอีเมลปลอมเหล่านี้จะถูกมองว่ามีความน่าเชื่อถือ
นักพัฒนาชื่อ Nick Johnson ซึ่งมีส่วนเกี่ยวข้องกับ Ethereum Name Service ได้รับการแจ้งเตือนความปลอดภัยที่ปรากฏเหมือนมาจาก Google โดยระบุว่ามีหมายเรียกจากหน่วยงานบังคับใช้กฎหมายเกี่ยวกับบัญชี Google ของเขา อย่างไรก็ตาม เขาสังเกตเห็นว่าลิงก์ไปยัง “support portal” นั้นใช้โดเมน sites.google.com ซึ่งแตกต่างจากโดเมนที่ถูกต้องอย่าง accounts.google.com ทำให้เขาสงสัยว่าอาจเป็นการปลอมแปลงเพื่อเก็บข้อมูลรับรองเข้าสู่ระบบ
รายละเอียดทางเทคนิคของการโจมตีเผยว่า แฮกเกอร์ได้จดทะเบียนโดเมนของตนเองและสร้างบัญชี Google ขึ้นมาในรูปแบบที่น่าจะดูเหมือนกับระบบของ Google จากนั้นจึงสร้างแอปพลิเคชัน Google OAuth ที่มีชื่อเหมือนกับข้อความฟิชชิ่ง เมื่อแอปพลิเคชันนี้ได้รับสิทธิ์ในการเข้าถึงอีเมลจากระบบ Google ระบบจะแจ้งเตือนไปยังกล่องจดหมายของผู้โจมตีโดยอัตโนมัติ ทำให้ข้อความปลอมถูกส่งต่อให้เหยื่อในภายหลังโดยผ่านการตรวจสอบ DKIM ที่ผ่านการเซ็นชื่ออย่างถูกต้อง
นอกจากการโจมตีผ่านระบบ Google แล้ว ข่าวยังชี้ให้เห็นว่ามีการพยายามแฮกแพลตฟอร์มอื่นอย่างเช่น PayPal ด้วยวิธีการคล้ายคลึงกัน โดยใช้ตัวเลือก “gift address” ในการเชื่อมโยงอีเมลปลอมเข้ากับบัญชีผู้ใช้งาน ซึ่งส่งผลให้มีการส่งอีเมลยืนยันมายังผู้โจมตีและกระจายไปยังเหยื่อในกลุ่มเดียวกัน
การตอบสนองของ Google ในขั้นต้นคือการยืนยันว่ากระบวนการดังกล่าวเป็นไปตามที่ออกแบบไว้ แต่หลังจากได้รับรายงานข้อบกพร่องเพิ่มเติม Google ได้กลับมาพิจารณาใหม่และรับรู้ถึงความเสี่ยงที่เกิดขึ้นกับผู้ใช้ ในปัจจุบัน Google กำลังดำเนินการแก้ไขช่องโหว่นี้เพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะเดียวกันในอนาคต
ที่มา: Thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
ASUS ยืนยันข้อบกพร่องร้ายแรงในเราเตอร์ AiCloud แนะนำให้ผู้ใช้รีบอัปเดตเฟิร์มแวร์
