Программист Зак Латта, основатель сообщества Hack Club, рассказал о случившемся мошенничестве с помощью настоящего телефонного номера Google.
Об этом сообщает ProIT
Мошенникам удалось позвонить жертве, используя номер, размещенный на официальном сайте поддержки Google, а затем отправить электронное письмо из официального субдомена компании. Пока остается непонятным, каким образом злоумышленники получили доступ к данным Google.
Схема мошенничества с телефонным звонком
Женщина, представившаяся как Хлоя, позвонила Латти из номера 650-203-0000, зарегистрированного на Google. Этот номер используется Google Assistant для автоматических вызовов, например для организации бронирования или проверки времени ожидания в ресторане.
«Она разговаривала как настоящий инженер, связь была очень четкой, и у нее был американский акцент», — отметил программист.
Мошенники, выдаваясь представителями службы поддержки Google Workspace, сообщили, что заблокировали аккаунт Латты, поскольку кто-то вошел в него из Франкфурта. Мужчина заподозрил мошенничество и попросил подтверждения по электронной почте. Удивление вызвало то, что хакеры ответили «да» и отправили письмо из реального субдомена g.co, принадлежащего Google. Это сообщение выглядело абсолютно легитимно и не содержало никаких признаков спуфинга, прошло аутентификацию DKIM, SPF и DMARC. Согласно информации Google, g.co является официальным субдоменом, предназначенным для веб-сайтов Google.
Угроза от мошенников и их методы
Мошенники объяснили, что аккаунт, вероятно, был сломан из-за расширения Chrome, и подготовили фальшивые аккаунты LinkedIn, чтобы доказать свою «причастность» к Google. «Хлоя» пыталась заставить жертву предоставить один из трех появившихся на телефоне номеров для сброса доступа к аккаунту.
«Безумие состоит в том, что если бы я соблюдал две «лучшие практики»: подтвердил номер телефона и заставил их прислать вам электронное письмо из законного домена, я был бы скомпрометирован», — подытожил Латта.
Зак Латта обнародовал все доказательства и записал разговор после того, как понял, что это мошенничество. Google пока не комментировал эту ситуацию, хотя компания Cybernews обратилась за разъяснениями.
Остается неизвестным, как мошенники смогли получить доступ к важным функциям и субдоменам Google. Некоторые эксперты считают, что злоумышленники использовали данные какой-то аккаунта Google, однако им все еще нужно обойти многофакторную аутентификацию для получения доступа к аккаунтам.