詐欺師は、公式サポート ウェブサイトに掲載されている Google の電話番号を使用して被害者に電話をかけ、公式サブドメインからメールを送信しました。脅威アクターが Google の機能をどのように悪用したかは不明です。
Hack Club の創設者でソフトウェア エンジニアの Zach Latta 氏は、GitHub に対する珍しい攻撃の詳細を 説明 しました。
Chloe という人物が、発信者番号「Google」を使用して 650-203-0000 から Latta に電話をかけました。Google のサポート ページで説明されているように、Google アシスタントは、予約の指定やレストランの待ち時間の確認などの自動通話にこの番号を 使用 します。
「彼女は本物のエンジニアのように聞こえたし、接続も非常に明瞭で、アメリカ訛りだった」と開発者は語った。
Google Workspace サポートを装った詐欺師は、誰かがフランクフルトからログインしてアクセスしたため、ラッタのアカウントをブロックしたと警告した。
ラッタはすぐにこれが詐欺の試みであると疑い、メールで確認を求めた。
驚いたことに、ハッカーは承諾し、Google に属する本物のサブドメイン g.co からメールを送信した。本物と区別がつかないメール メッセージにはなりすましの兆候はなく、DKIM、SPF、DMARC (メールのなりすましやフィッシング攻撃をチェックするメール認証プロトコル) を通過した。ラッタはすべての証拠を投稿で共有した。
Google によると、g.co は「Google ウェブサイト専用」の公式 URL ショートカットである。
「常に Google の製品やサービスにアクセスできると信頼できます」と、ドメインのランディング ページには書かれている。
詐欺師たちは、アカウントが Chrome 拡張機能を通じて侵害された可能性が高いと説明した。彼らは、Google で働いている証拠として、偽の LinkedIn アカウントを用意していた。
「クロエ」は、開発者を騙して、携帯電話に表示された 3 つの番号のうちの 1 つを録音させ、「アカウントをリセット」しようとした。実際には、この操作を実行すれば、詐欺師がアカウントにアクセスできるようになる。
ソフトウェア エンジニアは、これがフィッシングの試みであると確信した後の会話を録音した。
「おかしなのは、電話番号を確認し、正当なドメインからメールを送信し��てもらうという 2 つの「ベスト プラクティス」に従っていたら、侵害されていただろうということです」とラッタ氏は警告する。
Google はまだこの特定の問題について公に回答していない。サイバーニュースは Google にコメントを求め、回答を待っている。一方、スパマーがどのようにして重要な Google 機能やサブドメインにアクセスできたのかは不明である。
攻撃者が Google アカウントの認証情報を入手したのではないかと推測する人もいます。この認証情報により、攻撃者は一部の機能にアクセスできますが、アカウントを乗っ取って永続的にアクセスするには多要素認証を回避する必要があります。
その間、ユーザーは疑わしい電話やメールを受信した場合は注意し、疑わしいアクティビティがあれば Google のセキュリティ チームに報告することをお勧めします。