g.co, trường hợp tấn công lừa đảo bằng URL rút gọn của Google

 (gist.github.com/zachlatta)
3 điểm bởi GN⁺ 2025-01-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một trường hợp hacker lợi dụng subdomain của tên miền URL rút gọn chính thức g.co của Google (important.g.co) để thực hiện một cuộc tấn công lừa đảo tinh vi
  • Caller ID hiển thị là "Google", số gọi đến cũng là (650) 203-0000 nên trông như thể cuộc gọi thực sự đến từ Google
  • Chất lượng cuộc gọi và khả năng sử dụng ngôn ngữ cũng rất tự nhiên, khiến mức độ nghi ngờ đây là lừa đảo trở nên rất thấp

Tóm tắt nội dung cuộc gọi

  • Người gọi tự nhận là nhân viên "Google Workspace" và giải thích tình huống rằng gần đây có một nỗ lực đăng nhập từ IP tại Frankfurt, đồng thời hỏi người dùng có biết việc đó hay không
  • Khi người dùng nghi ngờ và yêu cầu “hãy xác nhận qua email chính thức của Google”, đối tượng đã gửi email từ địa chỉ important.g.co
  • Vì đây là subdomain của g.co, vốn được biết là do Google vận hành, nên rất dễ tạo cảm giác đáng tin
  • Sau đó, đối tượng nói sẽ đặt lại phiên thiết bị, gửi mã xác thực hai bước (2FA) cho người dùng và dụ người dùng nhấn vào mã đó
  • Nếu nhấp vào mã, hacker có thể giành được quyền truy cập vào tài khoản Google của người dùng

Phân tích email và tên miền

  • Bản thân g.co là tên miền URL rút gọn chính thức của Google
  • Tuy nhiên, có vẻ tồn tại một lỗ hổng cho phép tạo tùy ý các subdomain như important.g.co
    • Có khả năng kẻ tấn công đã lợi dụng lỗi trong quy trình xác minh tên miền của Google Workspace để chiếm được subdomain dưới g.co mà không cần xác thực đúng cách
  • Các kiểm tra như DKIM/SPF của email được gửi đi cũng đều vượt qua bình thường, nên email hiển thị như thể thực sự do Google gửi

Các điểm chính trong quá trình tấn công

  • Giả mạo cuộc gọi: thao túng để Caller ID hiển thị là "Google"
  • Tương đồng với kênh liên hệ chính thức: nhắc đến số điện thoại Google đã được biết đến và cho xem trang hỗ trợ thực của Google để tạo lòng tin
  • Hỗ trợ giọng nói tinh vi: cách nói chuyện, thái độ và mạch dẫn dắt của người gọi được dàn dựng rất thuyết phục, như một kỹ sư thật
  • Email từ subdomain g.co: gửi email cho người dùng và giải thích đó là “subnet nội bộ của Google” để làm giảm sự nghi ngờ
  • Yêu cầu mã 2FA: cuối cùng dẫn dắt việc đăng xuất phiên thiết bị; nếu người dùng nhấn vào mã 2FA, hacker có thể truy cập tài khoản

Phân tích từ phía Hack Club

  • Đưa ra giả thuyết rằng thực sự có thể chiếm được một subdomain như important.g.co trong Google Workspace
  • Với lỗ hổng này, có thể liên kết subdomain nội bộ dưới g.co với tài khoản Google Workspace, từ đó gửi email đã được xác thực SPF/DKIM một cách hợp pháp
  • Nhiều người đóng góp đã xem xét header email, cấu hình tên miền và xác nhận vấn đề

Tóm tắt

  • Trường hợp này cho thấy chỉ kiểm tra “số chính thức” và “email từ tên miền chính thức” theo cách truyền thống có thể vẫn không an toàn
  • Ngay cả nhiều yếu tố thường được xem là bằng chứng rằng đó là Google thật (số điện thoại, tên miền, DKIM/SPF) cũng không đảm bảo độ tin cậy
  • Trong các tình huống đáng ngờ, đặc biệt cần cẩn trọng với việc nhấn vào hoặc cung cấp mã 2FA theo yêu cầu
  • Đây có vẻ là một trường hợp lợi dụng lỗ hổng trong tài khoản Google Workspace và cơ chế xác minh tên miền, đòi hỏi phía nhà cung cấp dịch vụ phải cải thiện bảo mật

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-01-25
Ý kiến trên Hacker News

  • Đã từng truy cập các trang phishing như "colnbase.com", và nhận ra có vấn đề vì 1Password không tự động điền thông tin đăng nhập. Đây là kiểu trang phishing nguy hiểm mà ai cũng có thể mắc bẫy

  • Hầu hết các cuộc gọi tự xưng từ công ty công nghệ đều là lừa đảo. ID người gọi hay giọng điệu của người gọi không quan trọng

  • Có những cuộc tấn công phishing vẫn vượt qua SPF, DKIM, DMARC, bằng cách chia sẻ Google Form để gửi email

  • Tôi xem các email đặt lại mật khẩu hoặc cảnh báo thanh toán gian lận là phishing trừ khi chính tôi đã yêu cầu. Tôi nghĩ cách an toàn là tự xác minh xem có thực sự có vấn đề hay không rồi mới hành động

  • Không có bản ghi DNS cho important.g.co, và có một lỗi cho phép gửi email từ Google Workspace chưa được xác thực. Có vẻ như đang thiếu cơ chế bảo vệ cho tên miền g.co

  • Nếu làm theo hai "thực hành tốt nhất" là xác minh số điện thoại và nhận email từ tên miền hợp pháp thì có lẽ đã bị lừa. Tuy nhiên, tôi đã không làm theo cách thứ nhất, và người gọi cũng nói rõ rằng họ không thể gọi điện

  • Tôi tò mò về cách họ giả mạo email từ workspace-noreply@google.com. Cụm từ mật khẩu của 'important.g.co' nghe rất lạ, nên có thể đây là chiến thuật tạo tài khoản "song song" bằng cùng một email để khiến nó trông như email chính thức

  • Tôi đã có trải nghiệm tương tự vài tháng trước; khi đó trong Google Workspace có một tính năng cho phép gửi email tới người gửi và người nhận bổ sung do mình chọn. Khi tôi yêu cầu trả lời, họ nói là không thể, nên tôi thấy rất đáng ngờ

  • Google cần phản ứng mạnh tay hơn với các cuộc tấn công kiểu này. Có những phương thức tinh vi có thể chiếm đoạt tài khoản thông qua luồng khôi phục tài khoản, và dù tôi đã báo cáo, tôi vẫn nhận được phản hồi kiểu "đây không phải lỗi, mà được phân loại là rủi ro lạm dụng"

  • Việc tên miền hết hạn bị các tác nhân xấu lợi dụng để truy cập hệ thống là nguyên nhân khiến các cuộc tấn công mạng gia tăng gần đây