g.co, casos de phishing usando o encurtador de URL do Google

 (gist.github.com/zachlatta)
3 pontos por GN⁺ 2025-01-25 | 1 comentários | Compartilhar no WhatsApp
  • Um caso em que um invasor tentou realizar um ataque de phishing sofisticado abusando de um subdomínio (important.g.co) do domínio curto oficial do Google, g.co
  • A identificação de chamada aparecia como "Google", e o número exibido era (650) 203-0000, fazendo parecer que a ligação vinha realmente do Google
  • A qualidade da chamada e a fluência no idioma também eram naturais, a ponto de ser difícil suspeitar que era phishing

Visão geral do conteúdo da ligação

  • O autor da chamada dizia ser um funcionário do "Google Workspace" e explicava a situação perguntando se o usuário havia tentado fazer login recentemente a partir de um IP de Frankfurt
  • Quando o usuário desconfiou e pediu “confirme por um e-mail oficial do Google”, foi enviado um e-mail a partir do endereço important.g.co
  • Como se tratava de um subdomínio de g.co, conhecido por ser operado pelo Google, isso foi usado para induzir confiança
  • Em seguida, sob o pretexto de redefinir a sessão do dispositivo, foi enviado ao usuário um código de autenticação em dois fatores (2FA), e ele foi induzido a clicar nesse código
  • Se o código fosse clicado, o invasor poderia obter acesso à conta Google do usuário

Análise do e-mail e do domínio

  • g.co em si é o domínio oficial de URL encurtada do Google
  • No entanto, presume-se que exista uma vulnerabilidade em um mecanismo que permite criar livremente subdomínios como important.g.co
    • Ao que tudo indica, foi explorada uma falha no processo de verificação de domínio do Google Workspace para obter um subdomínio de g.co sem validação
  • O e-mail enviado também passou normalmente por DKIM/SPF etc., sendo exibido como se tivesse sido enviado pelo verdadeiro Google

Principais pontos do processo de ataque

  • Spoofing de chamada: manipulação para que o Caller ID aparecesse como "Google"
  • Semelhança com meios oficiais de contato: ganhou confiança mencionando um número conhecido do Google e mostrando a página real de suporte do Google
  • Suporte por voz sofisticado: a linguagem, a postura e o fluxo do interlocutor foram encenados de forma extremamente convincente, como se fosse um engenheiro real
  • E-mail de subdomínio g.co: enviou um e-mail ao usuário explicando que era uma “sub-rede interna do Google”, reduzindo a desconfiança
  • Solicitação do código 2FA: por fim, induzia o logout da sessão do dispositivo, e se o usuário clicasse no código 2FA, o invasor poderia acessar a conta

Análise do Hack Club

  • Foi levantada a hipótese de que era realmente possível obter um subdomínio como important.g.co no Google Workspace
  • Com essa vulnerabilidade, seria possível vincular subdomínios internos de g.co a uma conta do Google Workspace, permitindo enviar e-mails com autenticação SPF/DKIM de forma legítima
  • Vários colaboradores revisaram os cabeçalhos de e-mail, as configurações de domínio e outros detalhes, confirmando o problema

Resumo

  • Isso sugere que apenas verificar um “número oficial” e um “e-mail vindo de domínio oficial” pode não ser suficiente para garantir segurança
  • Mesmo vários elementos que parecem comprovar que a ligação ou o e-mail são realmente do Google (número de telefone, domínio, DKIM/SPF) não garantem confiabilidade
  • É preciso ter atenção redobrada, especialmente para não clicar nem fornecer códigos 2FA solicitados em situações suspeitas
  • O caso parece explorar vulnerabilidades em contas do Google Workspace e na validação de domínio, o que exige melhorias de segurança por parte do provedor do serviço

Leituras relacionadas

1 comentários

 
GN⁺ 2025-01-25
Opiniões no Hacker News

  • Já acessei sites de phishing como colnbase.com, e percebi o problema porque o 1Password não preencheu automaticamente minhas credenciais. Esses sites de phishing são um risco capaz de enganar qualquer pessoa

  • Ligações de empresas de tecnologia são, na maioria das vezes, golpe. O identificador de chamadas ou o sotaque de quem liga não importam

  • Existem ataques de phishing que passam por SPF, DKIM e DMARC, usando o compartilhamento de Google Forms para enviar os e-mails

  • Alertas de redefinição de senha ou de cobrança fraudulenta devem ser considerados phishing, a menos que eu mesmo os tenha solicitado. Acho mais seguro verificar se há realmente um problema antes de tomar qualquer ação

  • Não há registro DNS para important.g.co, e existe um bug que permite enviar e-mails a partir de um Google Workspace não autenticado. Suspeita-se que esteja faltando proteção para o domínio g.co

  • Se eu tivesse seguido as duas “melhores práticas” de confirmar o número de telefone e receber e-mails de um domínio legítimo, teria caído no golpe. Mas eu não segui a primeira prática, e o remetente declarou explicitamente que não podia ligar

  • Fico curioso sobre como foi possível falsificar e-mails de workspace-noreply@google.com. A expressão “senha de 'important.g.co'” soa estranha, então pode ser uma estratégia de criar uma conta “paralela” com o mesmo e-mail para fazê-la parecer oficial

  • Tive uma experiência parecida há alguns meses, quando havia no Google Workspace um recurso que permitia enviar e-mails ao remetente e a destinatários adicionais escolhidos. Quando pedi para responderem, disseram que isso não era possível, o que me pareceu suspeito

  • O Google precisa reagir com mais firmeza a esse tipo de ataque. Existe uma forma sofisticada de sequestrar contas por meio do fluxo de recuperação de conta, e embora isso tenha sido reportado, a resposta foi “não é bug, classificado como risco de abuso”

  • O vencimento de domínios vem sendo usado por agentes maliciosos para acessar sistemas, e isso é uma das causas do aumento recente de ataques cibernéticos