Lo sviluppatore principale di Ethereum Name Service (ENS), Nick Johnson, ha avvisato gli utenti di criptovalute di una nuova forma di truffa di phishing che coinvolge l'infrastruttura di Google. In un post su X, Johnson ha spiegato come i truffatori sfruttano una vulnerabilità nell'infrastruttura di Google.
Secondo Johnson , i truffatori possono inviare e-mail valide informando gli utenti che Google ha ricevuto un mandato di comparizione per fornire informazioni al loro account Google. Questo avviso di sicurezza, che sembra del tutto reale, chiede all'utente di protestare contro la citazione o di esaminare i materiali del caso.
Ha detto:
"La prima cosa da notare è che si tratta di un'e-mail valida e firmata: è stata effettivamente inviata da [email protected]. Supera il controllo della firma DKIM e GMail la visualizza senza alcun avviso e la inserisce persino nella stessa conversazione di altri avvisi di sicurezza legittimi."
Una volta che gli utenti fanno clic sul collegamento nell'e-mail, devono firmare la presunta pagina di supporto. Tuttavia, il portale di supporto ha sites.google.com come URL, uno stratagemma per ingannare gli utenti facendogli credere che sia autentico. Secondo Johnson, questa pagina di supporto falsa è probabilmente un sito di phishing in cui i truffatori raccolgono le credenziali di accesso degli utenti.
Lo sviluppatore dell'ENS ha notato che la vulnerabilità probabilmente persisterà, soprattutto perché Google si è rifiutata di agire in merito. Pertanto, è importante che gli utenti siano consapevoli e si proteggano.
Truffatori che sfruttano Google Sites per creare pagine di supporto false
Nel frattempo, Johnson ha spiegato come i malintenzionati abbiano creato false pagine di supporto di Google che sembravano reali. Secondo lui, sites.google.com è un prodotto legacy del colosso tecnologico che consente agli utenti di ospitare i propri contenuti sul sottodominio Google.com.
Ha notato che il prodotto consente script e incorporamenti, che consentono ai truffatori di creare siti di raccolta di credenziali sul sottodominio di Google e caricarne di nuovi ogni volta che il team di Google rimuove le versioni precedenti.
Johnson ha detto:
"Google ha capito da tempo che ospitare contenuti pubblici specificati dall'utente su google.com è una cattiva idea, ma Google Sites è rimasto."
Tuttavia, ha osservato che l'unica soluzione a questo problema è che Google disabiliti gli script e gli incorporamenti arbitrari per i suoi siti Google, poiché ciò rende il prodotto un potente strumento di phishing per i truffatori.
Segnalazione di bug a Google
È interessante notare che i truffatori generano false e-mail di avviso di sicurezza sfruttando un bug in Gmail. Nella sua analisi dell'e-mail, Johnson ha sottolineato indizi come l'intestazione dell'e-mail che mostrava che era stata inviata da "privateemail.com", con il destinatario "me@blah" e lo spazio bianco sotto il messaggio di phishing.
Secondo lui i truffatori hanno creato un account Google per Me@domain. Successivamente, hanno creato un'applicazione Google OAuth utilizzando il testo nell'e-mail di phishing, gli spazi bianchi e "Supporto legale di Google" come nome dell'applicazione.
Dopo averlo fatto, hanno concesso all'app OAuth l'accesso al proprio account Google "me@…", consentendo loro di generare il messaggio di avviso di sicurezza da Google all'indirizzo me@email. Hanno inoltrato questo avviso di sicurezza a tutti i potenziali obiettivi.
Poiché Google ha generato l'e-mail di avviso di sicurezza originale, questa è stata firmata con una chiave DKIM valida, ha superato tutti i controlli di sicurezza ed è apparsa come messaggio legittimo nella casella di posta dell'utente.
Tuttavia, Johnson ha affermato di aver inviato una segnalazione sul bug a Google, ma il colosso della tecnologia ha deciso di non affrontarlo. Invece, il team di sicurezza di Google ha chiuso il rapporto, sottolineando che la funzionalità “Funziona come previsto”, il che significa che non la considerano un bug.
Nel frattempo, il rapporto sui truffatori di phishing che sfruttano le vulnerabilità di Google per rubare le informazioni degli utenti evidenzia molteplici minacce per gli utenti di criptovalute. Solo pochi giorni fa, gli esperti di sicurezza hanno affermato che gli hacker utilizzano il malware InfoStealers per rubare le credenziali degli utenti dai browser.
Cryptopolitan Academy: stanco delle oscillazioni del mercato? Scopri come la DeFi può aiutarti a creare un reddito passivo costante. Registrati ora