Özet: Son günlerde, dolandırıcıların Google OAuth uygulamasını kullanarak hedeflerine oltalama (phishing) e-postaları gönderdiği yeni bir dolandırıcılık türü ortaya çıktı. Bu e-postalar, ilk bakışta güvenilir görünen “[email protected]” adresinden geliyor ve yasal bir sübvansiyon hakkında bilgi içeriyor. Bu durum, kullanıcıları hesap bilgilerini vermeye zorlamak için korkutuyor.
Gerçek Görünen E-posta Saldırıları
Eğer “[email protected]” adresinden bir e-posta alırsanız ve bunun Google’dan geldiğini düşünüyorsanız, bir kez daha düşünün; bu, bir oltalama e-postası olabilir. Dolandırıcılar, bu tür oltalama e-postaları göndermekte ve bu e-postalar ilk bakışta gayet meşru görünüyor.
Google Adresi Kandırmacası
Bleeping Computer’ın raporuna göre, bu e-postalar “hukuk yetkilileri” hakkında acil bir sübvansiyon uyarısını içeriyor ve hedefin Google hesabından bilgi talep ediyor. Bu oltalama dolandırıcılığı, Google’ın “sites.google.com” üzerinde oluşturduğu, meşru görünen oltalama web sitelerini ve e-postaları kullanıyor. Bu durum, kullanıcıları bilgilerinin ele geçirilmesi için korkutuyor.
Peki, Google neden bu tür oltalama e-postalarını işaretlemiyor? Bir e-posta doğrulama şirketi olan EasyDMARC tarafından sağlanan açıklamalara göre, oltalama e-postası Google’ın kendi aracından geldiği için DomainKeys Identified Mail (DKIM) doğrulamasını kolayca geçiyor. Normalde, DKIM sahte e-postaları işaretler, bu nedenle bu e-postalar spam klasörüne düşer. Dolandırıcılar, sahte OAuth uygulamalarının adını kullanarak e-postanın tam metnini ekliyorlar.
Dikkatli Olmak Şart
Sonrasında, bu metin, dolandırıcılar tarafından kullanıcıların e-posta adresine gönderilen bir Google e-postasına otomatik olarak dolduruluyor. İlginç bir şekilde, dolandırıcı bu oltalama e-postasını kullanıcıların Gmail adresine ilettiğinde, e-posta hala imzalı ve geçerli kalıyor. Bunun nedeni, DKIM’in yalnızca iletileri ve başlıkları kontrol etmesidir. Son olarak, oltalama e-postası, google.com hesabından ziyade sites.google.com üzerinden oldukça gerçekçi görünen bir destek portalına yönlendiriyor. Daha az bilgisini olan bir kişinin bu dolandırıcılığa kapılması son derece olasıdır.
Google Çözüm Üretiyor
Ethereum İsim Servisi (ENS) baş geliştiricisi Nick Johnson, bir hafta önce benzer bir Google oltalama e-postası aldı. Ancak, e-postanın tuhaf olduğunun farkına vardı ve bu durumu Google’a bildirdi, dolandırıcıların Google OAuth uygulamasını bir güvenlik açığı olarak kullandığını belirtti.
Şirket başlangıçta her şeyin yolunda olduğunu söylese de, daha sonra bunun kullanıcıları için bir tehdit olduğunu kabul etti ve OAuth güvenlik açığını düzeltmek için çalışmalara başladı. Siber güvenlik alanı geliştikçe, dolandırıcılar da kullanıcıları hedef almak için yeni numaralar geliştirmeye devam ediyor. Bu nedenle, dikkatli olmak herkesin sorumluluğudur.
