Το περιστατικό ξεκίνησε με έναν χρήστη να λαμβάνει ένα φαινομενικά επίσημο email από νόμιμο Google address (π.χ. [email protected]), σχετικό με εισαγγελική εντολή (subpoena) για λήψη δεδομένων. Αν και το email περνούσε επιτυχώς όλα τα ελέγχουν ταυτοποίησης (SPF, DKIM, DMARC) και εμφανιζόταν άψογα από γλωσσικής και αισθητικής πλευράς, στην πραγματικότητα οδηγούσε το θύμα μέσω μιας ενδιάμεσης σελίδας (Google Sites) σε phishing link, ώστε να κλαπούν τα credentials του. Το κύριο τρωτό σημείο ήταν η διαδικασία DKIM – σύστημα που υπογράφει το email με ψηφιακή υπογραφή του domain αποστολής. Ο επιτιθέμενος έλαβε ένα αληθινό email αυθεντικής ειδοποίησης της Google, κράτησε αναλλοίωτη την υπογραφή DKIM, και το προώθησε είτε ως έχει, είτε με τρόπο που δεν αλλοιώνει τα στοιχεία που καλύπτει το DKIM. Έτσι, και το antispam φίλτρο αλλά και ο χρήστης βλέπουν το email ως 100% γνήσιο.
Το επόμενο βήμα περιλάμβανε σειρά από σκόπιμες προωθήσεις από διάφορους email servers (π.χ. Outlook, Jellyfish SMTP, Namecheap PrivateEmail), ώστε το path παράδοσης να μπερδέψει περαιτέρω αυτοματοποιημένους και ανθρώπινους ελεγκτές. Ο τελικός αποδέκτης κατέληγε να βλέπει email με όλα τα authentication passes, ενώ το κακόβουλο περιεχόμενο εισχωρούσε μέσα από υπηρεσίες της Google (όπως Google Sites) που απολαμβάνουν υψηλό επίπεδο εμπιστοσύνης από τον χρήστη. Ιδιαίτερα επιτήδειοι ήταν οι τρόποι εκμετάλλευσης υπηρεσιών OAuth της Google: ο δράστης έφτιαχνε μια εφαρμογή με όνομα και περιγραφή που βοηθούσαν το phishing, με αποτέλεσμα η Google να στείλει εντελώς νόμιμη ειδοποίηση, στην οποία όμως εμφυτεύονταν, μέσω του «App Name», κακόβουλα links. Έτσι το θύμα είχε στα χέρια του ένα γνήσιο μήνυμα, αλλά με περιεχόμενο σχεδιασμένο από τον απατεώνα.
Το πραγματικό πρόβλημα έγκειται στο ότι το DKIM (και επομένως και το DMARC) δεν ελέγχουν τον τελικό αποδέκτη, ούτε εμπεριέχουν χρονική σήμανση (timestamp) ή προστασία απέναντι σε replay, οπότε αν κάποιος αρπάξει ένα νόμιμο DKIM-signed email, μπορεί να το στέλνει ξανά και ξανά σε άλλα θύματα, για πολύ καιρό. Η λήψη τέτοιων emails μέσω αλυσίδας διαφορετικών MTAs (email servers) μπορεί να δώσει ενδείξεις replay, αλλά συχνά περνούν απαρατήρητα. Σημαντικό είναι το γεγονός ότι η Google, μετά την αποκάλυψη της επίθεσης, περιόρισε δραστικά το τι μπορεί να δηλωθεί στο «App Name» όταν στέλνονται ειδοποιήσεις, ώστε να μη φιλοξενούνται phishing links. Ωστόσο, το σενάριο αναδεικνύει κενά του ίδιου του DKIM, αφού δεν υπάρχει ενσωματωμένη προστασία απέναντι στην αναπαραγωγή ήδη υπογεγραμμένων emails.
Σε επίπεδο ατομικής άμυνας, το σημαντικότερο είναι η επαγρύπνηση: μην κάνετε ποτέ κλικ ή υποβάλλετε στοιχεία μέσα από email, ακόμα κι αν προέρχεται από φαινομενικά επίσημο address, αν δεν είστε 100% βέβαιοι για το σκοπό του. Τα links πρέπει να ελέγχονται προσεκτικά και αν υπάρχει έστω υποψία για απάτη, να συμβουλεύεστε ειδικούς ή να απευθύνεστε στον τελικό πάροχο υπηρεσίας. Οι οργανισμοί οφείλουν, παράλληλα, να ενημερώνουν και να εκπαιδεύουν διαρκώς τους χρήστες τους στις νεότερες μορφές social engineering και τεχνικών spoofing. Η υπόθεση αυτό δείχνει πως, όσο εξελίσσεται η τεχνολογία ασφάλειας email, τόσο επεκτείνονται τα αντίστοιχα «παραθυράκια» και για τις μεθόδους εξαπάτησης, με αποτέλεσμα η επαλήθευση της ψηφιακής ταυτότητας να αποτελεί διαρκώς μεταβαλλόμενο πεδίο άμυνας—και ευθύνης τόσο των παρόχων, όσο και των χρηστών.
Για την καλύτερη εμπειρία σου θα θέλαμε να σε παρακαλέσουμε να το απενεργοποιήσεις κατά την πλοήγησή σου στο site μας ή να προσθέσεις το enternity.gr στις εξαιρέσεις του Ad Blocker.
Με εκτίμηση, Η ομάδα του Enternity