हाल ही में, Google के सिस्टम में एक FLW पाया गया है जो हमलावरों को पीड़ितों को प्रामाणिक दिखने वाले ईमेल भेजने की अनुमति देता है। टेक दिग्गज इस मुद्दे पर है।
Google ने हाल ही में एक नए फ़िशिंग हमले के बारे में सभी Gmail उपयोगकर्ताओं को चेतावनी जारी की है जो एक धारावाहिक खतरा पैदा करता है। यह हमला विशेष रूप से खतरनाक है यदि यह उन ईमेलों का उपयोग करता है जो वैध दिखते हैं, तो यह पिछले सामान्य सुरक्षा उपायों के पिछले पिछले हिस्से को फिसलने की अनुमति देता है। हमलावर पीड़ितों को अपने खाते की क्रेडेंशियल्स का खुलासा करने में धोखा देते हैं। टेक दिग्गज ने इस खतरे को पूरा किया है और एक फिक्स को तैनात करने के लिए काम कर रहा है। अर्थ में, यह उपयोगकर्ताओं को Google जैसे विश्वसनीय स्रोतों से आने के लिए उस मौसम के ईमेल का जवाब देते समय सतर्क रहने का आग्रह करता है।
यह हमला कैसे काम करता है?
सिस्टम में दोष तब सामने आया जब एक सॉफ्टवेयर विकास संदेश ने दावा किया कि उसके Google खाता डेटा के लिए एक सबपोना जारी किया गया था। यद्यपि ईमेल में एक लिंक होता है जो दिखता है कि यह उपयोगकर्ताओं को एक आधिकारिक Google समर्थन पृष्ठ पर ले जाएगा, यह वास्तव में उन्हें Google के स्वयं के प्लेटफार्मों, साइट्स .gogle.gogle.gogle.gogle.gogle.gogle.gogle.p.p पर होस्ट की गई फ़िशिंग साइट पर निर्देशित करता है।
ईमेल की विश्वसनीयता में जोड़ा गया था, यह Google के प्रमाणीकरण चेक के माध्यम से इसका मार्ग था, जिसमें डोमेनकीज़ की पहचान मेल (DKIM) शामिल थी। इसके अलावा, फ़िशिंग संदेश के बिना वितरित किया गया था
लिंक पर क्लिक करने से उपयोगकर्ताओं को Google उपडोमेन पर होस्ट किए गए Google साइन-इन पेज पर ले जाया गया। यह पृष्ठ विशेषज्ञ रूप से उपयोगकर्ताओं को सबपोना से लड़ने की अनुमति देने की आड़ में लॉगिन क्रेडेंशियल्स एकत्र करने के लिए डिज़ाइन किया गया था। यदि उपयोगकर्ता अपना क्रेडिट दर्ज करते हैं, तो हमलावर अपने जीमेल खातों और एसोसिएटेड डेटा तक पूरी पहुंच प्राप्त करेंगे।
Google ने इस फ़िशिंग अभियान को याद किया है और पुष्टि की है कि इसने रचनात्मक रूप से OAuth और DKIM तंत्र का लाभ उठाया है। एक बयान में, कंपनी ने घोषणा की कि वह इस विशिष्ट खतरे का मुकाबला करने के लिए उपायों को लागू कर रही है और उम्मीद करती है कि समाधान “पूरी तरह से तैनात” गीत होगा। अतिरिक्त, Google उपयोगकर्ताओं को दो-कारक प्रमाणीकरण को सक्षम करने और अपने खाता सुरक्षा को मजबूत करने के लिए पासकी का उपयोग करने के लिए प्रोत्साहित कर रहा है।
ALSO READ: आपका फ़ोन आपकी वार्तालापों को सुन रहा है: इन सेटिंग्स को तुरंत जांचें
