g.co, Google'ın kısa URL'si kullanılarak gerçekleştirilen phishing saldırısı vakası

 (gist.github.com/zachlatta)
3 puan yazan GN⁺ 2025-01-25 | 1 yorum | WhatsApp'ta paylaş
  • Bir hackerın, Google’ın resmi kısa URL alan adı g.conun alt alan adını (important.g.co) kötüye kullanarak gelişmiş bir phishing saldırısı girişiminde bulunduğu bir vaka
  • Arayan kimliğinde "Google" yazıyor ve arayan numara da (650) 203-0000 göründüğü için, aramanın gerçekten Google’dan gelmiş gibi görünmesi sağlanmış
  • Görüşme kalitesi ve dil kullanımı da doğal olduğundan, bunun phishing olduğundan şüphelenmek zor olacak kadar ikna ediciydi

Görüşme içeriğinin özeti

  • Arayan kişi, "Google Workspace" çalışanı olduğunu iddia ederek kullanıcıya yakın zamanda Frankfurt IP’sinden bir oturum açma girişimi olup olmadığını sorup durumu açıkladı
  • Kullanıcı şüphelenip “Bunu resmi Google e-postasıyla doğrulayın” diye isteyince, important.g.co adresinden bir e-posta gönderdi
  • Bunun Google tarafından işletildiği bilinen bir g.co alt alan adı olması, güven duygusu oluşturmayı kolaylaştırdı
  • Ardından cihaz oturumunu sıfırlayacaklarını söyleyip kullanıcıya iki adımlı doğrulama (2FA) kodu gönderdi ve bu koda basmasını yönlendirdi
  • Koda tıklanması halinde, hackerın kullanıcının Google hesabına erişim yetkisi elde edebileceği bir yapı söz konusuydu

E-posta ve alan adı analizi

  • g.co, Google’ın resmi kısa URL alan adıdır
  • Ancak important.g.co gibi alt alan adlarının keyfi biçimde oluşturulabilmesine imkân veren bir zafiyet olduğu tahmin ediliyor
    • Muhtemelen Google Workspace’in alan adı doğrulama sürecindeki bir kusur kötüye kullanılarak g.co alt alan adı doğrulama olmadan ele geçirildi
  • Gönderilen e-postada DKIM/SPF gibi kontroller de normal biçimde geçtiği için, ileti gerçekten Google’dan gönderilmiş gibi göründü

Saldırı sürecindeki önemli noktalar

  • Telefon spoofing’i: Caller ID’nin "Google" olarak görünmesi için manipüle edildi
  • Resmi iletişim kanallarına benzerlik: Bilinen Google telefon numarasından bahsedip gerçek Google destek sayfasını göstererek güven kazandı
  • Gelişmiş sesli destek: Arayan kişinin dil kullanımı, tavrı ve akışı gerçek bir mühendis gibi son derece ikna edici biçimde kurgulanmıştı
  • g.co alt alan adından e-posta: Kullanıcıya e-posta gönderip bunun “Google iç alt ağı” olduğunu söyleyerek şüpheyi azalttı
  • 2FA kodu talebi: Son aşamada cihaz oturumunu kapatmaya yönlendirip kullanıcı 2FA koduna basarsa hackerın hesaba erişebilmesini sağladı

Hack Club tarafının analizi

  • Google Workspace üzerinden important.g.co gibi bir alt alan adının gerçekten alınabilmiş olabileceği hipotezi ortaya kondu
  • Bu zafiyet sayesinde g.co içindeki alt alan adları bir Google Workspace hesabına bağlanabiliyor ve böylece SPF/DKIM doğrulamalı e-postalar meşru şekilde gönderilebiliyor
  • Birden fazla katkıda bulunan kişi e-posta başlıklarını ve alan adı ayarlarını inceleyerek sorunu doğruladı

Özet

  • Geleneksel olarak bilinen “resmi numarayı doğrulama” ve “resmi alan adından gelen e-postayı kontrol etme” yöntemlerinin tek başına güvenli olmayabileceğine işaret ediyor
  • Telefon numarası, alan adı, DKIM/SPF gibi bir çağrı veya e-postanın gerçekten Google’dan geldiğini destekleyen çeşitli unsurlar da güveni garanti etmiyor
  • Şüpheli durumlarda sizden istenen 2FA koduna basma veya onu paylaşma konusunda özellikle dikkatli olmak gerekiyor
  • Bunun, Google Workspace hesabı ve alan adı doğrulama zafiyetlerinin kötüye kullanıldığı bir vaka olduğu ve hizmet sağlayıcı tarafında güvenlik iyileştirmeleri gerektiği değerlendiriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-01-25
Hacker News görüşleri

  • colnbase.com gibi bir phishing sitesine girme deneyimi yaşadım ve 1Password kimlik bilgilerini otomatik doldurmayınca sorunu fark ettim. Bu tür phishing siteleri herkesin kanabileceği kadar tehlikeli

  • Teknoloji şirketlerinden gelen aramaların çoğu dolandırıcılık. Arayan kimliği ya da arayanın aksanı önemli değil

  • SPF, DKIM, DMARC kontrollerini geçen phishing saldırıları var ve bunun için Google Form paylaşarak e-posta gönderme yöntemi kullanılıyor

  • Parola sıfırlama ya da sahte ödeme bildirimi, ben bizzat talep etmedikçe phishing sayılır. Gerçekten bir sorun olup olmadığını doğrulayıp sonra harekete geçmenin daha güvenli olduğunu düşünüyorum

  • Önemli.g.co için DNS kaydı yok ve doğrulanmamış Google Workspace üzerinden e-posta gönderilebilmesini sağlayan bir bug var. g.co alan adı için koruma eksikliği olduğu tahmin ediliyor

  • Telefon numarasını doğrulama ve meşru bir alan adından e-posta alma şeklindeki iki "en iyi uygulamayı" izleseydim dolandırılmış olurdum. Ancak ilkini uygulamadım ve arayan kişi kendisinin geri aranamayacağını açıkça söyledi

  • workspace-noreply@google.com adresinden e-postanın nasıl spoof edildiğini merak ediyorum. 'important.g.co'nun parolası ifadesi tuhaf görünüyor; aynı e-postayla 'paralel' bir hesap oluşturup resmi bir e-posta gibi göstermeye yönelik bir strateji olabilir

  • Birkaç ay önce benzer bir deneyim yaşadım; Google Workspace'te gönderen kişiye ve seçtiğiniz ek alıcılara e-posta gönderebilen bir özellik vardı. Yanıt talebi için bunun mümkün olmadığı cevabını alınca şüpheli gelmişti

  • Google bu tür saldırılara karşı daha güçlü yanıt vermeli. Hesap kurtarma akışı üzerinden hesabı ele geçirmeye yarayan sofistike bir yöntem var; bunu bildirdim ama "bug değil, kötüye kullanım riski olarak sınıflandırıldı" yanıtını aldım

  • Alan adlarının süresinin dolup kötü niyetli aktörler tarafından sistem erişimi için kullanılması, son dönemdeki siber saldırı artışının nedenlerinden biri