Програміст Зак Латта, засновник спільноти Hack Club, розповів про випадок шахрайства, що сталося за допомогою справжнього телефонного номера Google.
Про це розповідає ProIT
Шахраям вдалося зателефонувати жертві, використовуючи номер, розміщений на офіційному сайті підтримки Google, а згодом надіслати електронний лист із офіційного субдомену компанії. Наразі залишається незрозумілим, яким чином зловмисники отримали доступ до даних Google.
Схема шахрайства з телефонним дзвінком
Жінка, яка представилася як Хлоя, зателефонувала Латті з номера 650-203-0000, зареєстрованого на Google. Цей номер використовується Google Assistant для автоматичних дзвінків, наприклад, для організації бронювань або перевірок часу очікування в ресторані.
«Вона розмовляла як справжній інженер, зв’язок був надзвичайно чітким, і в неї був американський акцент», — зазначив програміст.
Шахраї, видаючись представниками служби підтримки Google Workspace, повідомили, що заблокували обліковий запис Латти, оскільки хтось увійшов у нього з Франкфурта. Чоловік запідозрив шахрайство і попросив підтвердження через електронну пошту. Здивування викликало те, що хакери відповіли «так» та надіслали листа з реального субдомену g.co, який належить Google. Це повідомлення виглядало абсолютно легітимно і не містило жодних ознак спуфінгу, пройшло автентифікацію DKIM, SPF і DMARC. Згідно з інформацією Google, g.co є офіційним субдоменом, призначеним для вебсайтів Google.
Загроза від шахраїв та їхні методи
Шахраї пояснили, що обліковий запис, ймовірно, було зламано через розширення Chrome, та підготували фальшиві облікові записи LinkedIn, щоб довести свою «причетність» до Google. «Хлоя» намагалася змусити жертву надати один з трьох номерів, що з’явилися на телефоні, для скидання доступу до облікового запису.
«Безумство полягає в тому, що якби я дотримувався двох «найкращих практик»: підтвердив номер телефону і змусив їх надіслати вам електронний лист із законного домену, я був би скомпрометований», — підсумував Латта.
Зак Латта оприлюднив усі докази та записав розмову після того, як зрозумів, що це шахрайство. Google наразі не коментував цю ситуацію, хоча компанія Cybernews звернулася за роз’ясненнями.
Залишається невідомим, як шахраї змогли отримати доступ до важливих функцій та субдоменів Google. Деякі експерти вважають, що зловмисники використали дані якогось облікового запису Google, проте їм все ще потрібно обійти багатофакторну автентифікацію для отримання доступу до облікових записів.