Головна Оперативка

Новий рівень: хакери вже дзвонять і пишуть жертвам з офіційного телефону і домену Google

4 хвилин читання

Новий рівень скаму: кібершахраї зателефонували жертві з офіційного номера підтримки Google, а потім надіслали листа з офіційного домену компанії. Поки незрозуміло, як зловмисники це зробити.

Про новий спосіб кібератаки на GitHub розповів інженер-програміст Зак Латта, засновник Hack Club, пише CyberNews.

Як програміст ледь не втратив акаунт Google: нова шахрайська схема

Латті подзвонила така собі Хлоя – з номера 650-203-0000, який був підписаний як Google і вказаний на сторінці підтримки Google. В США Google Assistant, наприклад, може дзвонити з цього номеру для призначення бронювань або перевірки часу очікування в ресторані.

Читайте також: Напередодні Чемпіонату світу з футболу 2026 компанія Meta Platforms оголосила про масштабне посилення безпеки на своїх платформах Facebook та Instagram, пише FoneArena. 

Хлоя назвалась службою підтримки Google Workspace і попередила, що заблокувала обліковий запис Латти, мовляв, хтось увійшов в акаунт із Франкфурта.

Той одразу запідозрив, що це спроба шахрайства, і попросив підтвердження електронною поштою. Хакери одразу надіслали email зі справжнього субдомену g.co, який дійсно належить Google. 

Підписуйтеся на наші соцмережі

Різні протоколи автентифікації електронної пошти, які перевіряють на спуфінг і фішингові атаки, не виявили в листі жодних ознак спуфінгу.

Шахрайка дійсно написала з домену @g.co — офіційного URL Google

Google також гарантує, що g.co – це офіційне скорочення для URL-адрес, призначене «тільки для веб-сайтів Google». 

«Можете бути впевнені: скорочення g.co завжди приведе вас до продукту чи послуг Google»
Повідомлення на сторінці домену g.co

Телефонна розмова і лист не допомогли шахрайці переконати Латту. Тоді до схеми підключився її “шеф” “Соломон”, який продовжив телефоном розповідати інженеру, що його акаунт, ймовірно, був зламаний через розширення Chrome для блокування реклами, – і запропонував ресетнути всі сесії в Google Workspace. Для цього, звісно, треба було назвати число на телефоні, як завжди при двофакторній автентифікації

Тут шахрай фатально помилився, бо наступним кроком надіслав в смс максимально підозрілий лінк на сайт для “відновлення акаунта”. Спроба угону не пройшла, але Латті дійсно залишалось одне натискання кнопки до втрати втрати.

Якби Зак Латта повірив дзвінку з номера і листу з пошти Google, він би втратив акаунт. Проте наступним кроком шахраї надіслали йому лінк на спуферський сайт  
“І знаєте що? Якби я обмежився двома «найкращими практиками»: підтвердити номер телефону + змусити їх надіслати вам електронний лист із легального домену, – я би втратив акаунт. Розумію, що вони змогли підробити телефонний дзвінок «Google» через Google Assistant, але я не можу зрозуміти, як шахраї отримали доступ до дуже важливого домену g.co, легітимного URL Google. Буквально 1 клік до втрати. І це я досить розуміюсь на техніці!”
Зак Латта, інженер-програміст

Як шахраям вдалось надіслати лист з офіційного домену Google

Google поки не коментував цей випадок. Як шахраї могли отримати доступ до важливих функцій і субдоменів Google, наразі незрозуміло.

На GitHub висловили версію, що це помилка в Google Workspace. Вона дозволяє створити новий робочий простір із будь-яким субдоменом g.co і якийсь час надсилати з нього електронні листи, не підтверджуючи, що ви є власником домену.

Щоправда, інші коментатори жартома нагадують: підтримка Google ніколи не має часу дзвонити користувачам, тому першою ознакою скама був сам факт дзвінка.

Інші матеріали

кібератаки двофакторна аутентифікація Google Workspace Google Assistant онлайн-шахрайство шахрайська схема Телефонні шахраї шахрайство в Інтернеті Редакція
Читати на speka.media