g.co, Google के short URL का उपयोग करने वाले phishing attack का मामला

 (gist.github.com/zachlatta)
3 पॉइंट द्वारा GN⁺ 2025-01-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • एक मामले में हैकर ने Google के आधिकारिक short URL domain g.co के subdomain (important.g.co) का दुरुपयोग करके एक परिष्कृत phishing attack की कोशिश की
  • फोन पर caller ID में "Google" दिख रहा था, और calling number भी (650) 203-0000 था, इसलिए यह वास्तव में Google से आया कॉल लग रहा था
  • कॉल की quality और भाषा का इस्तेमाल भी स्वाभाविक था, इसलिए इसे phishing समझना मुश्किल था

कॉल की सामग्री का संक्षेप

  • कॉल करने वाले ने खुद को "Google Workspace" कर्मचारी बताया और कहा कि हाल ही में Frankfurt IP से login attempt हुआ है या नहीं
  • जब उपयोगकर्ता ने शक जताया और कहा, “Google के official email से पुष्टि करें,” तो उसने important.g.co पते से मेल भेजा
  • क्योंकि यह g.co का subdomain था, जिसे Google द्वारा संचालित माना जाता है, इसलिए भरोसा करने के लिए उकसाया गया
  • इसके बाद उसने device session reset करने की बात कहकर उपयोगकर्ता को 2-step verification (2FA) code भेजा और उस code को दबाने के लिए कहा
  • अगर code पर क्लिक किया जाता, तो हैकर को उपयोगकर्ता के Google account तक पहुंच मिल सकती थी

ईमेल और domain का विश्लेषण

  • g.co स्वयं Google का आधिकारिक shortened URL domain है
  • लेकिन अनुमान है कि important.g.co जैसे subdomain मनमाने ढंग से बनाने की सुविधा में एक कमजोरी मौजूद थी
    • संभवतः Google Workspace की domain verification प्रक्रिया में खामी का दुरुपयोग करके g.co subdomain बिना validation के हासिल किया गया
  • भेजे गए ईमेल में DKIM/SPF आदि भी सामान्य रूप से pass हो गए, इसलिए वह असली Google mail जैसा दिखा

attack process के मुख्य बिंदु

  • फोन spoofing: Caller ID को "Google" दिखाने के लिए manipulate किया गया
  • आधिकारिक संपर्क माध्यम जैसी विश्वसनीयता: Google के ज्ञात फोन नंबर का उल्लेख किया गया और भरोसा जीतने के लिए असली Google support page दिखाया गया
  • उन्नत voice support: कॉल करने वाले की भाषा, रवैया और बातचीत का flow वास्तविक engineer जैसा बेहद विश्वसनीय बनाया गया
  • g.co subdomain से मेल: उपयोगकर्ता को मेल भेजकर इसे “Google internal subnet” बताया गया ताकि संदेह कम हो
  • 2FA code की मांग: अंत में device session logout कराने की बात कर, उपयोगकर्ता से 2FA code दबवाने की कोशिश की गई; ऐसा करने पर हैकर account तक पहुंच सकता था

Hack Club का विश्लेषण

  • यह परिकल्पना पेश की गई कि Google Workspace में important.g.co जैसे subdomain वास्तव में हासिल किए जा सकते थे
  • इस कमजोरी के कारण g.co के internal subdomain को Google Workspace account से जोड़ा जा सकता था, जिससे SPF/DKIM authenticated mail वैध रूप से भेजना संभव हो जाता
  • कई contributors ने email header, domain settings आदि की जांच करके समस्या की पुष्टि की

सारांश

  • इससे संकेत मिलता है कि पारंपरिक रूप से अपनाए जाने वाले “official number की पुष्टि” और “official domain से आए email” की जांच भर पर्याप्त रूप से सुरक्षित नहीं हो सकती
  • फोन या email के सचमुच Google होने के कई संकेत (फोन नंबर, domain, DKIM/SPF) भी भरोसे की गारंटी नहीं देते
  • संदिग्ध स्थिति में मांगे गए 2FA code को दबाने या साझा करने से विशेष सावधानी बरतनी चाहिए
  • यह Google Workspace account और domain verification की कमजोरी का दुरुपयोग करने वाला मामला लगता है, और service provider की ओर से security सुधार की जरूरत है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-01-25
Hacker News की राय

  • मुझे colnbase.com जैसी phishing साइट पर जाने का अनुभव हुआ है, और 1Password ने credentials अपने-आप भरने से मना कर दिया, जिससे मुझे समस्या का पता चला। ऐसी phishing साइटें ऐसी जोखिम हैं जिनमें कोई भी फँस सकता है

  • tech कंपनियों से आने वाली ज़्यादातर फोन कॉल scam होती हैं। caller ID या कॉल करने वाले का accent मायने नहीं रखता

  • ऐसे phishing हमले भी होते हैं जिनमें SPF, DKIM, DMARC pass हो जाते हैं, और Google Form share करके email भेजने का तरीका इस्तेमाल किया जाता है

  • password reset या fraudulent payment alert को मैं phishing मानता हूँ, जब तक कि मैंने खुद उसे request न किया हो। पहले यह verify करना और फिर कार्रवाई करना कि सच में कोई समस्या है या नहीं, मुझे सुरक्षित लगता है

  • महत्वपूर्ण g.co के लिए DNS record मौजूद नहीं है, और unauthenticated Google Workspace से email भेजे जा सकने वाला एक bug है। लगता है कि g.co domain के लिए protection गायब है

  • अगर मैंने फोन नंबर verify करने और वैध domain से email पाने वाली दो "best practices" का पालन किया होता, तो मैं scam का शिकार हो जाता। लेकिन मैंने पहली practice का पालन नहीं किया, और caller ने साफ कहा था कि वह कॉल नहीं कर सकता

  • मैं यह जानना चाहता हूँ कि workspace-noreply@google.com से email spoof कैसे किया जा रहा है। 'important.g.co' का password वाला phrasing अजीब लगता है, इसलिए यह उसी email से एक 'parallel' account बनाकर उसे आधिकारिक email जैसा दिखाने की strategy हो सकती है

  • कुछ महीने पहले मेरा भी ऐसा ही अनुभव हुआ था, और Google Workspace में sender और चुने गए अतिरिक्त recipients को email भेजने की एक सुविधा थी। reply request पर मुझे बताया गया कि यह संभव नहीं है, इसलिए यह संदिग्ध लगा

  • Google को ऐसे हमलों पर और सख्ती से कार्रवाई करनी चाहिए। account recovery flow के ज़रिए account hijack करने का एक sophisticated तरीका है, और मैंने इसकी report की थी, लेकिन जवाब मिला: "bug नहीं है, abuse risk के रूप में वर्गीकृत"

  • domain expiry का malicious entities द्वारा system access के लिए इस्तेमाल किया जाना हाल के cyber attacks में बढ़ोतरी का एक कारण है