Araştırmacılar, Google’ın hizmetlerini kötüye kullanan yeni ve karmaşık bir kimlik avı saldırısını ortaya çıkardı. Ethereum Name Service’in baş geliştiricisi Nick Johnson, kısa bir süre önce [email protected] adresinden gelen ve Google’dan geliyormuş gibi görünen, hesabı ile ilgili bir e-posta aldı. Oldukça gerçekçi görünen bu mesajın sahte olduğunu fark etmek son derece zordu.

Johnson, teknik bilgisi sınırlı olan kullanıcıların bu tür bir tuzağa kolayca düşebileceğini belirtiyor. Dolandırıcılar, oldukça karmaşık bir yöntem kullanıyor. Öncelikle, “me@domain” gibi sahte bir Google hesabı oluşturuyorlar. Ardından, bir Google OAuth uygulaması geliştirerek bu uygulamanın ad alanına kimlik avı mesajını (örneğin sahte bir uyarı yazısını) yerleştiriyorlar. Daha sonra, bu sahte uygulamaya Google Workspace üzerinden e-posta erişim yetkisi veriliyor.

Bu işlem tamamlandığında, Google sistemleri söz konusu hesaba otomatik olarak bir bildirim e-postası gönderiyor. Ancak, dolandırıcılar kimlik avı mesajını uygulamanın ad alanına yerleştirdiğinden, e-postayı açan kişi sadece sahte mesajı görüyor ve tuzağa düşme ihtimali artıyor.

E-postanın alt kısmına dikkatlice bakıldığında dolandırıcılık izleri fark edilebiliyor. Örneğin, “me@domain” adresine erişim bilgileri bulunuyor. Ancak, bu detaylar genellikle gözden kaçacak şekilde gizlenmiş durumda.

DKIM açığı ve yeni bir saldırı yöntemi

Bu yeni saldırı türü artık “DKIM tekrarlama kimlik avı saldırısı” olarak adlandırılıyor. Google sistemleri, DKIM protokolü kapsamında yalnızca mesaj içeriğini ve başlıkları kontrol ediyor, ancak zarf bilgileri göz ardı ediliyor. Dolandırıcılar, sahte bir “me@domain” adresi kaydederek Google’ın bu adresi meşru olarak algılamasını sağlıyor ve böylece güvenlik sistemlerini atlatıyor.

Daha da ileri giden dolandırıcılar, kimlik bilgisi çalmak için sites.google.com üzerinden sahte açılış sayfaları oluşturuyor. Bu sayfalar, dolandırıcılığı daha gerçekçi ve inandırıcı hale getirmek için tasarlanıyor. Ancak, resmi görünen bu tür bağlantılar her zaman bir uyarı işareti olarak değerlendirilmeli.

Nasıl önlem alabilirsiniz?

Bu tür kimlik avı saldırıları, internet kullanıcılarının sahte e-posta ve web sayfalarına karşı dikkatli olmaları gerektiğini bir kez daha gözler önüne seriyor. Kimlik avına karşı korunmak için şu önlemleri almak önemli:

  • Gönderen e-posta adresini dikkatle kontrol edin ve gerçekçi görünen mesajlarda bile ayrıntılara odaklanın.
  • Bilinmeyen kaynaklardan gelen e-postalardaki bağlantılara tıklamadan önce doğrulama yapın.
  • Google veya diğer hizmetlerden gelen güvenlik bildirimlerini doğrudan hesap ayarlarından kontrol edin.
  • Spam ve kimlik avı bildirimlerini ilgili platformlara ileterek güvenlik önlemlerine katkıda bulunun.

Bu tür saldırılar, siber güvenlik alanında sürekli gelişen tehditlere karşı bilinçli olmanın gerekliliğini gösteriyor. Dijital dünyada güvende kalmak için, her zaman dikkatli olmak ve şüpheli içerikleri doğrulamadan harekete geçmemek büyük önem taşıyor.