Angreifer haben Google in einer Phishing-Kampagne erfolgreich ausgeben und E-Mails gesendet, die authentisch erscheinen, indem legitime E-Mail-Sicherheitssignaturen geschickt wiederverwendet werden. Sicherheitsunternehmen easydmarc detailliert wie Angreifer die Domainkeys identifiziert ( dkim ) Standard mit einer Wiederholungstechnik. Die Kampagne verwendet gefälschte Vorladungen, um die Benutzer zu unter Druck zu setzen, um ihre Google-Konten möglicherweise zu beeinträchtigen. Wie von Forschern erklärt und durch EasydMarcs Fortpflanzungsbemühungen bestätigt, erstellten die Angreifer eine Google OAuth-App und haben ihre Phishing-Nachricht-die gefälschte Rechtswarnung-direkt in das Feld des App-Namens eingebettet. Diese Benachrichtigung, die von der legitimen [E-Mail-geschützten] Adresse gesendet wurde, enthielt den Angreifer-erstellten Text aus dem App-Namen und wurde mithilfe eines bestimmten Schlüsselkennung (Selector `s=`). src=”https://winbuzer.com/wp-content/uploads/2023/10/gmail-google.jpg”>
Diese legitim unterschriebene Benachrichtigung wurde zur Waffe. Die Angreifer erfassten diese E-Mail und stellten sicher, dass die signierten Header und Körperinhalte unverändert blieben. DKIM soll überprüfen, ob bestimmte Teile einer E-Mail seitdem nicht von der Domain des Absenders unterschrieben wurden. Die Überprüfung stützt sich auf einem öffentlichen Schlüssel, der im DNS der Absenderdomäne veröffentlicht wurde und der für die Unterzeichnung verwendete private Schlüssel entspricht. Analyse nahelegte Systeme wie microsofts Outlook.com und Namecheaps Private-Email-Weiterleitung. Regeln in Namecheap PrivateMail, mit denen das Anpassen des”Headers”an das Anpassen der ursprünglichen Google-E-Mails angepasst wurde. Das entscheidende Element ist, dass die ursprüngliche, gültige Google DKIM-Signatur zusammen mit der wiederholten Nachricht über diese Relais reiste. Da die wiederholte Nachricht eine unberührte, gültige Signatur von `Aces.google.com enthielt, hat sie diese Überprüfung bestanden. Dieser erfolgreiche DKIM-Pass, der mit der”Adressdomäne:”Adressdomäne ausgerichtet war, erlaubte die E-Mail anschließend, domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC) zu passen. Die DKIM-Replay-Technik funktioniert wie sagt Die erste Antwort von Google gab an, dass der Prozess”genauso gearbeitet hat.”
Inmitten der öffentlichen Berichterstattung und der klaren Sicherheitsauswirkungen verlagerte das Unternehmen seine Haltung. Google bestätigte Newsweek, dass es sich der Kampagne bewusst war, die einem Bedrohungsschauspieler namens”RockFoils”zugeschrieben wurde, Milderungen eingesetzt hatte und eine Lösung für den spezifischen OAuth-Vektor entwickelte. Der Bleeping-Computer wurde auch auf A ähnliche Methode, die die Zahlung von Messing-Merkmalen im März
