Жертвы получают якобы официальное уведомление от Google, предупреждающее, например, о запросе данных от правоохранительных органов. Сообщение отправлено с адреса « no-reply@google.com » и сопровождается всеми привычными признаками настоящих уведомлений: подпись DKIM, размещение в той же цепочке писем, что и реальные предупреждения безопасности, и оформление, полностью имитирующее оригинал.
Разработчик Ник Джонсон оказался среди получателей такого письма и заметил подвох. Единственная деталь, вызвавшая у него подозрение, — адрес поддельного «портала поддержки»: вместо accounts.google.com использовался sites.google.com, бесплатная платформа для размещения страниц, что позволило злоумышленникам замаскировать фишинговую копию настоящего интерфейса Google.
Как выяснилось, атакующие использовали механизм под названием DKIM replay, пишут в Securitylab. Они создавали учётную запись Google для адреса вида «me@домен», причём домен мог быть любым, главное — чтобы выглядел правдоподобно. Далее создавалось OAuth-приложение с названием, совпадающим с фишинговым сообщением. В текст сообщения добавлялись пробелы, чтобы отделить его от служебных уведомлений Google, и создавалось ощущение, что письмо завершено.
После этого атакующие предоставляли доступ приложению к своей учётной записи, в результате чего Google автоматически отправлял уведомление безопасности. Поскольку отправителем реально выступала система Google, DKIM-подпись подтверждала подлинность, и письмо выглядело как легитимное. Его оставалось лишь переслать жертве. Gmail при этом показывал, что сообщение пришло именно получателю, благодаря трюку с именем ящика me@.
Ключевая проблема заключается в том, что DKIM-подпись проверяет только содержание письма и заголовки, но не «конверт» — информацию о реальном маршруте доставки. Это оставляет лазейку для подобных атак, особенно если отправка происходит с домена, который контролирует сам злоумышленник, но сообщение подписано системой Google.
Подобный механизм ранее уже применялся в атаках на пользователей PayPal. В марте была зафиксирована кампания , где хакеры использовали возможность добавить адрес «для подарков» в учётной записи PayPal. В одном поле указывался адрес, а в другом — фишинговое сообщение. PayPal отправлял подтверждение на указанный адрес, а злоумышленники добавляли его в рассылку, распространявшую фейковое уведомление среди потенциальных жертв. DKIM-подпись опять же была подлинной, так как исходила от сервера PayPal.
Компания EasyDMARC опубликовала технический разбор уязвимости и пошагово описала метод атаки. Хотя изначально Google заявила, что всё работает корректно, позднее признала потенциальную опасность и начала работу над устранением уязвимости в OAuth-процессе.