एक अत्यधिक परिष्कृत फ़िशिंग अभियान में, हैकर्स कहा जाता है कि उसने एक वैध ईमेल भेजने के लिए Google के बुनियादी ढांचे का सफलतापूर्वक शोषण किया है जो एक वैध से दिखाई देता है गूगल अपने लॉगिन क्रेडेंशियल्स को सौंपने में उपयोगकर्ताओं को ट्रिक करने के लिए पता। एथेरियम नेम सर्विस (ENS) के प्रमुख डेवलपर निक जॉनसन द्वारा हाल ही में प्रकाश में लाया गया यह हमला, No- Reply@google.com से भेजे गए ईमेल को शामिल किया गया था, जिसमें डोमेनकीज़ की पहचान की गई मेल (DKIM) प्रमाणीकरण-Gmail को बेवकूफ बनाना उन्हें प्रामाणिक सुरक्षा अलर्ट के रूप में माना जाता है।
जॉनसन ने एक्स (पूर्व में ट्विटर) पर कहा, “ये ईमेल मान्य हैं, हस्ताक्षरित हैं, और जीमेल में कोई चेतावनी नहीं है।” “वे वास्तविक Google सुरक्षा अलर्ट के रूप में एक ही थ्रेड में दिखाई देते हैं, जिससे वे और भी अधिक आश्वस्त हो जाते हैं।”
ईमेल अपने Google खाते से अनिर्दिष्ट सामग्री को शामिल करने वाले एक सबपोना के प्राप्तकर्ताओं को सूचित करने का दावा करते हैं और उपयोगकर्ताओं को एक साइट पर क्लिक करने के लिए संकेत देते हैं। लिंक Google साइटों पर होस्ट किए गए एक नकली Google समर्थन पृष्ठ की ओर जाता है, जहां उपयोगकर्ताओं को या तो “अतिरिक्त दस्तावेज़ अपलोड” या “दृश्य अपलोड करने के लिए कहा जाता है [the] मामला।” ये बटन Google अकाउंट साइन-इन पेज की एक निकट-परिपूर्ण प्रतिकृति के लिए पुनर्निर्देशित करते हैं-जिसे उपयोगकर्ता क्रेडेंशियल्स की कटाई के लिए डिज़ाइन किया गया है।
जॉनसन ने कहा, “केवल एक संकेत है कि यह एक फ़िशिंग अटैक है कि इसे ‘sites.google.com’ पर होस्ट किया गया है।
जॉनसन ने चेतावनी दी कि यथार्थवादी डिजाइन और सूक्ष्म डोमेन अंतर फ़िशिंग प्रयास को विशेष रूप से खतरनाक बनाते हैं। “इन घोटालों को यथासंभव वास्तविक दिखने के लिए डिज़ाइन किया गया है,” उन्होंने कहा। “जो उपयोगकर्ता थोड़े परिवर्तित डोमेन को हाजिर नहीं करते हैं, वे पहचान की चोरी या वित्तीय हानि का जोखिम उठा सकते हैं।”
हैकर्स पर Google ने इसके बुनियादी ढांचे को दुरुपयोग किया
Google ने हमले की पुष्टि की और कहा कि उसने दुर्व्यवहार की अनुमति देने वाली खामियों को बंद कर दिया है। Google के एक प्रवक्ता ने हैकर न्यूज को बताया, “हम इस खतरे वाले अभिनेता से लक्षित हमले के इस वर्ग के बारे में जानते हैं और इस एवेन्यू को दुरुपयोग के लिए बंद करने के लिए सुरक्षा प्रदान की है।” “हम उपयोगकर्ताओं को मजबूत सुरक्षा के लिए दो-कारक प्रमाणीकरण और पासकी को अपनाने के लिए प्रोत्साहित करते हैं।”
कंपनी ने दोहराया कि वह कभी भी खाता क्रेडेंशियल्स के लिए नहीं पूछती है-जिसमें पासवर्ड, एक बार के कोड (ओटीपी), या पुष्टि संकेत शामिल हैं-ईमेल या फोन के माध्यम से। Google ने उपयोगकर्ताओं को एक अलग ब्राउज़र विंडो में मैन्युअल रूप से लिंक खोलकर किसी भी ईमेल की प्रामाणिकता को सत्यापित करने की सलाह दी। Google की गोपनीयता नीति के अनुसार, खाता जानकारी के लिए वैध सरकार के अनुरोध अग्रिम सूचना के साथ हैं – जब तक कि कानूनी रूप से निषिद्ध नहीं है।
जीमेल उपयोगकर्ताओं के लिए साइबर सुरक्षा विशेषज्ञों की सुरक्षा युक्तियाँ
साइबर सुरक्षा विशेषज्ञों ने जीमेल उपयोगकर्ताओं को सावधान किया, विशेष रूप से दो-कारक प्रमाणीकरण या पासकी का उपयोग नहीं कर रहे हैं, बढ़े हुए जोखिम में हैं। जबकि अकेले पासवर्ड से समझौता किया जा सकता है, Passkeys-Dardware- बाउंड लॉगिन क्रेडेंशियल- फ़िशिंग के लिए काफी मजबूत प्रतिरोध।
गिरने वाले शिकार से बचने के लिए, उपयोगकर्ताओं को उन ईमेलों पर संदेह करना चाहिए जो अस्पष्ट अभिवादन, कार्रवाई के लिए तत्काल कॉल, या व्यक्तिगत डेटा का अनुरोध करने वाले लिंक का उपयोग करते हैं।