Мошенники превратили сервисы Google в оружие против опытных айтишников

Google предпринимает меры для усиления защиты от изощренных попыток взлома аккаунтов, после того как программист из США рассказал о «самой сложной схеме фишинга», с которой он столкнулся.

Зак Латта поделился историей о том, как едва не стал жертвой злоумышленников. Специалист подчеркнул, что фишинговая атака выглядела настолько убедительно, что даже он, как опытный пользователь, чуть не попался на уловку.

Мошенники связались с Латтой, представившись сотрудниками команды Google Workspace. Они сообщили, что была зафиксирована попытка входа в аккаунт Латта из Франкфурта, и предложили сбросить пароль для защиты. Звонок поступил с номера 650-203-0000, который ассоциируется с автоматическими звонками Google Assistant. Даже определитель вызова показывал, что это звонит «Google», что сразу вызвало доверие.

Фишинговое письмо от Google Workspace (zachlatta)

Латта заподозрил неладное и попросил дополнительное подтверждение. Мошенники, вероятно, были готовы к таким вопросам: они отправили письмо с домена workspace-noreply@google.com , что выглядело вполне легитимно. Более того, когда Латта предложил перезвонить по указанному номеру, оператор, представившаяся Хлоей, спокойно согласилась.

Сомнения программиста усилились, когда в разговор вступил другой человек по имени Соломон, который предоставил противоречивую информацию относительно действий, предложенных Хлоей. Более того, хотя злоумышленники смогли сгенерировать подлинный код двухфакторной аутентификации, который Латта увидел на своем устройстве, Соломон стал настаивать на том, чтобы программист нажал определенную цифру для подтверждения. Этот момент стал решающим: программист окончательно понял, что имеет дело с мошенниками.

Выяснилось, что мошенники использовали поддомен g.co, который принадлежит Google и который можно задействовать для создания аккаунтов Workspace, и именно через него отправляются письма для сброса пароля. Таким образом, киберпреступники создали учетную запись для Латты, чтобы заставить его передать контроль над аккаунтом. Проблема заключается в том, что домен g.co действительно принадлежит Google, что делает такую атаку особенно убедительной.

Google отреагировала на инцидент , приостановив действия аккаунта, который использовался для атаки, и заявила, что подобные схемы пока не являются массовыми. Однако компания усиливает защитные механизмы, чтобы предотвратить дальнейшие злоупотребления. Представитель Google напомнил, что компания никогда не звонит пользователям для сброса паролей или устранения неполадок, и посоветовал игнорировать любые подобные звонки.

Случай Зака — не единственный пример использования голосового фишинга. Случай Латты — не единственный пример использования голосового фишинга. В декабре 2024 года стало известно о похожей атаке, в ходе которой мошенники использовали Google Формы для последующей кражи почти $500 000 в криптовалюте.

Что делает такие схемы особенно опасными — это использование настоящих инструментов Google, таких как Google Forms и g.co, а также знание деталей двухфакторной аутентификации. Такие методы рассчитаны на то, чтобы обмануть даже опытных пользователей.

На фоне таких атак все больше компаний, включая Microsoft и Google, призывают пользователей переходить на современные технологии защиты, такие как ключи доступа (passkeys), которые обеспечивают более высокий уровень безопасности и становятся все более популярными, особенно на фоне участившихся фишинговых атак.