g.co กรณีการโจมตีแบบฟิชชิงที่ใช้ URL แบบสั้นของ Google

 (gist.github.com/zachlatta)
3 คะแนน โดย GN⁺ 2025-01-25 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีกรณีที่แฮกเกอร์พยายามโจมตีแบบฟิชชิงอย่างแนบเนียนโดยอาศัยซับโดเมนของ g.co (important.g.co) ซึ่งเป็นโดเมนย่อ URL อย่างเป็นทางการของ Google
  • หน้าจอแสดงชื่อผู้โทรขึ้นว่า "Google" และหมายเลขที่โทรมาก็เป็น (650) 203-0000 ทำให้ดูเหมือนเป็นสายจาก Google จริง
  • ทั้งคุณภาพของสายและการใช้ภาษาก็ดูเป็นธรรมชาติ จนยากจะสงสัยว่าเป็นฟิชชิง

ภาพรวมของเนื้อหาการโทร

  • ผู้โทรอ้างว่าเป็นพนักงาน "Google Workspace" และอธิบายสถานการณ์โดยถามว่าผู้ใช้เพิ่งมีความพยายามล็อกอินจาก IP ในแฟรงก์เฟิร์ตหรือไม่
  • เมื่อผู้ใช้สงสัยและขอให้ “ยืนยันผ่านอีเมลทางการของ Google” ผู้โทรก็ส่งอีเมลมาจากที่อยู่ important.g.co
  • เนื่องจากเป็นซับโดเมนของ g.co ซึ่งเป็นที่รู้จักว่า Google เป็นผู้ดูแล จึงถูกใช้เพื่อชักจูงให้เชื่อถือได้ง่าย
  • จากนั้นผู้โทรอ้างว่าจะรีเซ็ตเซสชันของอุปกรณ์ จึงส่งรหัสยืนยันแบบสองขั้นตอน (2FA) ให้ผู้ใช้ และชักจูงให้กดรหัสดังกล่าว
  • หากกดรหัสนั้น แฮกเกอร์ก็จะสามารถได้รับสิทธิ์เข้าถึงบัญชี Google ของผู้ใช้ได้

การวิเคราะห์อีเมลและโดเมน

  • ตัว g.co เองเป็นโดเมน URL แบบสั้นอย่างเป็นทางการของ Google
  • อย่างไรก็ตาม คาดว่ามีช่องโหว่ที่ทำให้สามารถสร้างซับโดเมนอย่าง important.g.co ได้โดยพลการ
    • ดูเหมือนว่าได้อาศัยข้อบกพร่องในกระบวนการยืนยันโดเมนของ Google Workspace เพื่อยึดซับโดเมนของ g.co มาใช้โดยไม่ต้องผ่านการตรวจสอบ
  • อีเมลที่ส่งออกมายังผ่านการตรวจสอบอย่าง DKIM/SPF ตามปกติ จึงแสดงผลเหมือนอีเมลที่ส่งจาก Google จริง

จุดสำคัญของกระบวนการโจมตี

  • การปลอมแปลงสายโทรศัพท์: มีการปรับแต่งให้ Caller ID แสดงเป็น "Google"
  • ความคล้ายคลึงกับช่องทางติดต่อทางการ: มีการอ้างอิงหมายเลขโทรศัพท์ของ Google ที่เป็นที่รู้จัก พร้อมแสดงหน้าซัพพอร์ตจริงของ Google เพื่อสร้างความน่าเชื่อถือ
  • การสนับสนุนด้วยเสียงที่แนบเนียน: ภาษา ท่าที และลำดับการพูดของผู้โทรถูกทำให้โน้มน้าวใจอย่างมากจนดูเหมือนวิศวกรตัวจริง
  • อีเมลจากซับโดเมน g.co: ส่งอีเมลถึงผู้ใช้พร้อมอธิบายว่าเป็น “ซับเน็ตภายในของ Google” เพื่อลดความระแวง
  • การขอรหัส 2FA: ในขั้นสุดท้ายจะชักจูงให้ล็อกเอาต์เซสชันของอุปกรณ์ และหากผู้ใช้กดรหัส 2FA แฮกเกอร์ก็จะเข้าถึงบัญชีได้

การวิเคราะห์จากฝั่ง Hack Club

  • มีการเสนอสมมติฐานว่าใน Google Workspace อาจสามารถครอบครองซับโดเมนอย่าง important.g.co ได้จริง
  • ช่องโหว่นี้ทำให้สามารถผูกซับโดเมนภายใน g.co เข้ากับบัญชี Google Workspace ได้ ส่งผลให้ส่งอีเมลที่ผ่านการยืนยัน SPF/DKIM ได้อย่างถูกต้องตามระบบ
  • ผู้มีส่วนร่วมหลายคนได้ตรวจสอบอีเมลเฮดเดอร์ การตั้งค่าโดเมน และยืนยันปัญหาดังกล่าว

สรุป

  • กรณีนี้ชี้ให้เห็นว่าแนวทางแบบดั้งเดิมอย่างการ “ตรวจสอบหมายเลขทางการ” และ “ตรวจสอบว่าอีเมลมาจากโดเมนทางการ” เพียงอย่างเดียว อาจไม่ปลอดภัยเสมอไป
  • แม้องค์ประกอบหลายอย่างที่ดูเหมือนยืนยันว่าเป็น Google จริง เช่น หมายเลขโทรศัพท์ โดเมน และ DKIM/SPF ก็ยังไม่อาจรับประกันความน่าเชื่อถือได้
  • ในสถานการณ์ที่น่าสงสัย ต้องระวังเป็นพิเศษกับการกดหรือส่งต่อรหัส 2FA ตามที่มีผู้ร้องขอ
  • ดูเป็นกรณีที่อาศัยช่องโหว่ของบัญชี Google Workspace และการยืนยันโดเมน จึงจำเป็นต้องมีการปรับปรุงความปลอดภัยจากฝั่งผู้ให้บริการ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-01-25
ความคิดเห็นจาก Hacker News

  • เคยเข้าเว็บไซต์ฟิชชิงอย่าง "colnbase.com" มาก่อน และสังเกตเห็นปัญหาเพราะ 1Password ไม่กรอกข้อมูลรับรองให้อัตโนมัติ เว็บไซต์ฟิชชิงแบบนี้อันตรายมากจนใครก็อาจถูกหลอกได้

  • โทรศัพท์ที่อ้างว่ามาจากบริษัทเทคส่วนใหญ่เป็นการหลอกลวง ไม่สำคัญว่าจะเป็น Caller ID หรือสำเนียงของผู้โทร

  • มีการโจมตีแบบฟิชชิงที่ผ่าน SPF, DKIM, DMARC ได้ โดยใช้วิธีแชร์ Google Form แล้วส่งอีเมลออกไป

  • การรีเซ็ตรหัสผ่านหรือการแจ้งเตือนการชำระเงินที่น่าสงสัย ฉันจะถือว่าเป็นฟิชชิง เว้นแต่ฉันจะเป็นคนร้องขอเอง คิดว่าการตรวจสอบก่อนว่ามีปัญหาจริงหรือไม่แล้วค่อยดำเนินการจะปลอดภัยกว่า

  • ไม่มี DNS record สำหรับ important.g.co และมีบั๊กที่ทำให้ส่งอีเมลได้จาก Google Workspace ที่ไม่ได้รับการยืนยัน คาดเดาได้ว่ามีการขาดการป้องกันสำหรับโดเมน g.co

  • ถ้าทำตาม "แนวทางปฏิบัติที่ดีที่สุด" สองข้อ คือยืนยันหมายเลขโทรศัพท์และรับอีเมลจากโดเมนที่ถูกต้องตามกฎหมาย ก็คงโดนหลอกไปแล้ว แต่กรณีนี้ไม่ได้ทำตามข้อแรก และผู้ส่งก็ระบุไว้ชัดว่าพวกเขาโทรออกไม่ได้

  • สงสัยว่าเขาปลอมอีเมลจาก workspace-noreply@google.com ได้อย่างไร คำว่า รหัสผ่านของ 'important.g.co' ก็ดูแปลก ๆ อาจเป็นกลยุทธ์สร้างบัญชีแบบ 'ขนาน' ด้วยอีเมลเดียวกันให้ดูเหมือนอีเมลทางการ

  • เมื่อไม่กี่เดือนก่อนก็เคยเจอประสบการณ์คล้ายกัน โดยใน Google Workspace มีฟีเจอร์ที่ส่งอีเมลถึงผู้ส่งและผู้รับเพิ่มเติมที่เลือกได้ ตอนที่ขอให้เขาตอบกลับ กลับได้รับคำตอบว่าเป็นไปไม่ได้ จึงดูน่าสงสัย

  • Google ควรรับมือกับการโจมตีลักษณะนี้อย่างจริงจังกว่านี้ มีวิธีที่ซับซ้อนในการยึดบัญชีผ่านขั้นตอนกู้คืนบัญชี และแม้จะรายงานไปแล้วก็ได้รับคำตอบว่า "ไม่ใช่บั๊ก แต่จัดเป็นความเสี่ยงจากการใช้งานในทางที่ผิด"

  • การที่โดเมนหมดอายุแล้วถูกผู้ไม่หวังดีนำไปใช้เข้าถึงระบบ เป็นสาเหตุหนึ่งที่ทำให้การโจมตีไซเบอร์เพิ่มขึ้นในช่วงหลัง