แฮ็กเกอร์ทำการโจมตีอย่างชาญฉลาด โดยใช้อีเมลปลอมที่ดูเหมือนว่าถูกส่งมาจาก Google ซึ่งผ่านการตรวจสอบความถูกต้องทั้งหมดแล้ว แต่ก็จะนำผู้ใช้ไปยังหน้าเว็บไซต์ปลอมที่สร้างขึ้นเพื่อขโมยข้อมูลการเข้าสู่ระบบ
โดยการโจมตีนี้ แฮ็กเกอร์ใช้ประโยชน์จากโครงสร้างพื้นฐานของ Google เพื่อหลอกลวงผู้รับไปยัง “support portal” ปลอม และหลอกให้กรอกข้อมูลบัญชี Google ของตนเอง อีเมลหลอกลวงเหล่านี้ดูเหมือนจะถูกส่งมาจาก "no-reply@google.com" และผ่านวิธีการตรวจสอบสิทธิ์ DomainKeys Identified Mail (DKIM) แต่ในความเป็นจริงแล้วไม่ได้ถูกส่งมาจาก Google
อีเมลปลอมที่ผ่านการตรวจสอบ DKIM จาก Google
Nick Johnson หัวหน้านักพัฒนาของ Ethereum Name Service (ENS) ได้รับอีเมลแจ้งเตือนปลอมซึ่งดูเหมือนว่าจะถูกส่งมาจาก Google โดยแจ้งว่ามีหมายเรียกจากหน่วยงานบังคับใช้กฎหมาย ขอเข้าถึงข้อมูลในบัญชี Google ของเขา อีเมลปลอมนี้ดูเหมือนจริงมาก และยังถูกจัดไว้รวมกับการแจ้งเตือนด้านความปลอดภัยอื่น ๆ ของ Google ซึ่งอาจทำให้ผู้ใช้ที่ไม่มีความรู้ด้านเทคนิคหลงเชื่อได้
อย่างไรก็ตาม Johnson สังเกตเห็นว่า support portal ปลอมถูกโฮสต์อยู่บน sites.google.com ซึ่งเป็นแพลตฟอร์มสร้างเว็บไซต์ฟรีของ Google ทำให้เขาเริ่มรู้สึกสงสัย แต่การที่อยู่ภายใต้โดเมนของ Google จึงทำให้ผู้รับมีโอกาสรู้ตัวว่ากำลังตกเป็นเป้าหมายน้อยลงอย่างมาก
Johnson ระบุว่าพอร์ทัลปลอมนั้นเหมือนกับของจริงทุกประการ และสิ่งเดียวที่บอกว่าเป็นฟิชชิงก็คือมันถูกโฮสต์อยู่บน sites.google.com แทนที่จะเป็น accounts.google.com
นักพัฒนาเชื่อว่าจุดประสงค์ของเว็บไซต์ปลอมคือการรวบรวมข้อมูลบัญชีผู้ใช้เพื่อใช้ในการเจาะระบบของผู้รับ การส่งข้อความที่ดูเหมือนว่าผ่านการยืนยัน DKIM ของ Google ได้สำเร็จ ทำให้วิธีการนี้แนบเนียนมากยิ่งขึ้น แม้ว่าตัวพอร์ทัลปลอมจะดูออกได้ง่ายว่าเป็นส่วนหนึ่งของการหลอกลวงก็ตาม ซึ่งเป็นเทคนิคที่เรียกว่า DKIM replay phishing attack
เมื่อพิจารณารายละเอียดในส่วน header ของอีเมล จะเห็นว่าในหัวข้อ mailed-by มีที่อยู่อีเมลที่ต่างจาก no-reply ของ Google และผู้รับก็เป็นอีเมลลักษณะ me@ บนโดเมนที่ถูกออกแบบให้ดูเหมือนว่าเป็นของ Google
อย่างไรก็ตามข้อความดังกล่าวได้รับการ signed และส่งโดย Google
Johnson ได้วิเคราะห์เบาะแสทั้งหมด และสามารถเข้าใจวิธีการหลอกลวงของผู้โจมตีได้สำเร็จ
ขั้นตอนแรก ผู้โจมตีจะลงทะเบียนโดเมน และสร้างบัญชี Google โดยใช้ชื่อผู้ใช้ว่า me@<โดเมน> การเลือกใช้ "me" เป็นชื่อผู้ใช้นั้นถือว่าเป็นกลยุทธ์ที่ชาญฉลาดในขณะที่ชื่อโดเมนนั้นไม่ได้มีความสำคัญ แต่การเลือกใช้ชื่อโดเมนที่ดูคล้ายกับโครงสร้างพื้นฐานทางเทคนิค อาจช่วยเพิ่มความน่าเชื่อถือได้
ต่อมาผู้โจมตีสร้างแอป OAuth ของ Google ขึ้นมา โดยนำข้อความฟิชชิงทั้งหมดตั้งเป็นชื่อแอป พร้อมกับใส่ช่องว่างจำนวนมากในข้อความเพื่อหลอกให้ผู้รับคิดว่าเนื้อหาสิ้นสุดแล้ว ทำให้ผู้รับไม่ทันสังเกตข้อความแจ้งเตือนจาก Google ที่ระบุว่าแอปได้รับสิทธิ์เข้าถึงอีเมล me@<โดเมน> ซึ่งเป็นบัญชีที่ผู้โจมตีสร้างขึ้น
เมื่อแอป OAuth ได้รับอนุญาตจากผู้โจมตีให้เข้าถึงที่อยู่อีเมลใน Google Workspace ระบบของ Google จะส่งอีเมลแจ้งเตือนความปลอดภัยไปยังกล่องจดหมายอัตโนมัติ ซึ่งอีเมลนี้จะถูก sign ด้วย DKIM key ที่ถูกต้อง และผ่านการตรวจสอบทั้งหมด เนื่องจากสร้างขึ้นโดยระบบของ Google เอง ขั้นตอนสุดท้ายของการหลอกลวงคือการส่งต่อการแจ้งเตือนความปลอดภัยนี้ไปยังเหยื่อ
ระบบการตรวจสอบ DKIM ของ Google มีจุดอ่อนตรงที่พิจารณาเฉพาะส่วน header และเนื้อหาของอีเมล โดยไม่ได้ตรวจสอบ envelope ซึ่งเป็นข้อมูลเกี่ยวกับการส่งอีเมลที่ระบบใช้ในการจัดการ แต่ผู้ใช้ทั่วไปจะไม่เห็นส่วนนี้ จึงทำให้แม้แต่อีเมลปลอมก็สามารถยืนยันตัวตนด้วย DKIM สำเร็จ และแสดงในกล่องจดหมายของผู้รับโดยที่ดูเหมือนว่าเป็นอีเมลจริง
นอกจากนี้ การใช้ me@ ในชื่อที่อยู่อีเมลปลอมทำให้ Gmail แสดงข้อความราวกับว่าส่งตรงถึงที่อยู่อีเมลของเหยื่อ
EasyDMARC ซึ่งเป็นผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องของอีเมล ได้ให้รายละเอียดทางเทคนิคทั้งหมดเกี่ยวกับการโจมตีแบบ DKIM replay phishing ที่ Johnson ระบุไว้เช่นเดียวกัน
ไม่ใช่แค่ Google – PayPal ก็ถูกใช้ในลักษณะเดียวกัน
นอกเหนือจาก Google แล้ว แพลตฟอร์มอื่น ๆ ก็ถูกใช้เป็นเป้าหมายของการหลอกลวงที่คล้ายคลึงกันนี้เช่นเดียวกัน ตัวอย่างเช่น ในเดือนมีนาคม มีการโจมตีที่มุ่งเป้าไปยังผู้ใช้ PayPal โดยใช้วิธีการส่งข้อความหลอกลวงจากเซิร์ฟเวอร์อีเมลของบริษัททางการเงิน ซึ่งสามารถผ่านการตรวจสอบ DKIM ได้
จากการทดสอบของ BleepingComputer พบว่า ผู้โจมตีใช้ตัวเลือก “gift address” เพื่อเชื่อมโยงอีเมลใหม่เข้ากับบัญชี PayPal ของตน โดยขณะเพิ่มที่อยู่อีเมลใหม่ จะมีช่องกรอกข้อมูลสองช่อง ซึ่งผู้โจมตีจะกรอกอีเมลลงในช่องแรก และนำข้อความฟิชชิงไปวางไว้ในอีกช่องหนึ่ง
จากนั้นระบบของ PayPal จะส่งอีเมลยืนยันไปยังที่อยู่ของผู้โจมตีโดยอัตโนมัติ ซึ่งผู้โจมตีจะส่งต่ออีเมลดังกล่าวไปยังรายชื่ออีเมลกลุ่ม หรือ mailing list เพื่อกระจายอีเมลไปยังเหยื่อทั้งหมดในกลุ่มเป้าหมาย
ในขณะเดียวกัน Johnson ได้ส่งรายงานไปยัง Google ซึ่งในตอนแรกบริษัทได้ยืนยันว่ากระบวนการดังกล่าวทำงานตามที่ออกแบบไว้ อย่างไรก็ตามภายหลัง Google ได้กลับมาพิจารณาเรื่องนี้อีกครั้ง และยอมรับว่าเป็นความเสี่ยงที่อาจส่งผลกระทบต่อผู้ใช้ ปัจจุบันบริษัทกำลังดำเนินการแก้ไขช่องโหว่ดังกล่าวในระบบ OAuth
ที่มา : bleepingcomputer
You must be logged in to post a comment.