हमलावरों ने एक फ़िशिंग अभियान में Google की नकल करके, वैध ईमेल सुरक्षा हस्ताक्षरों का चतुराई से पुन: उपयोग करके, प्रामाणिक प्रतीत होने वाले ईमेल भेजने में सफलता प्राप्त की है। सुरक्षा कंपनी EasyDMARC ने विस्तार से बताया है कि कैसे हमलावर रीप्ले तकनीक का उपयोग करके DomainKeys Identified Mail (DKIM) मानक का दुरुपयोग करते हैं। यह अभियान उपयोगकर्ताओं पर उनके Google खातों से संभावित रूप से समझौता करने का दबाव बनाने के लिए फ़र्ज़ी सम्मन नोटिस का उपयोग करता है।
धोखे के लिए OAuth और DKIM का दुरुपयोग
इस धोखे का मूल Google के अपने सिस्टम, विशेष रूप से उसके OAuth एप्लिकेशन फ़्रेमवर्क, में हेरफेर करके हमलावर की दुर्भावनापूर्ण सामग्री वाले DKIM-हस्ताक्षरित ईमेल उत्पन्न करना है। जैसा कि शोधकर्ताओं द्वारा समझाया गया है और EasyDMARC के पुनरुत्पादन प्रयासों के माध्यम से पुष्टि की गई है, हमलावरों ने एक Google OAuth ऐप बनाया और अपने फ़िशिंग संदेश – फ़र्ज़ी कानूनी चेतावनी – को सीधे ऐप के नाम फ़ील्ड में एम्बेड कर दिया।
जब इस ऐप को अनुमतियाँ दी गईं (संभवतः Namecheap के माध्यम से पंजीकृत और Google Workspace द्वारा सत्यापित डोमेन पर एक हमलावर-नियंत्रित खाते का उपयोग करके), तो Google ने स्वचालित रूप से एक मानक सुरक्षा सूचना ईमेल जनरेट किया। यह सूचना, वैध no-reply@accounts.google.com पते से भेजी गई थी, जिसमें ऐप के नाम से हमलावर द्वारा तैयार किया गया टेक्स्ट शामिल था और इसे Google के DKIM हस्ताक्षर (`d=accounts.google.com`) का उपयोग करके, एक विशिष्ट कुंजी पहचानकर्ता (चयनकर्ता `s=`) का उपयोग करके सही ढंग से हस्ताक्षरित किया गया था।
यह वैध रूप से हस्ताक्षरित सूचना ही हथियार बन गई। हमलावरों ने इस ईमेल को अपने कब्जे में ले लिया, यह सुनिश्चित करते हुए कि हस्ताक्षरित हेडर और मुख्य सामग्री अपरिवर्तित रहे। DKIM को यह सत्यापित करने के लिए डिज़ाइन किया गया है कि प्रेषक के डोमेन द्वारा हस्ताक्षरित होने के बाद से ईमेल के विशिष्ट भागों के साथ छेड़छाड़ नहीं की गई है। इसका सत्यापन प्रेषक डोमेन के DNS में प्रकाशित एक सार्वजनिक कुंजी पर निर्भर करता है, जो हस्ताक्षर के लिए उपयोग की जाने वाली निजी कुंजी के अनुरूप होती है।
रिले और रीप्ले के ज़रिए प्रमाणीकरण को दरकिनार करना
इसके बाद हमलावरों ने असंबंधित तृतीय-पक्ष मेल संरचना का उपयोग करके इस कैप्चर किए गए, हस्ताक्षरित ईमेल को फिर से भेजा। विश्लेषण से पता चला कि Microsoft के Outlook.com और Namecheap की PrivateEmail अग्रेषण सेवा सहित कई प्रणालियों का उपयोग संदेश को अंतिम लक्ष्यों तक पहुँचाने के लिए किया गया था।
EasyDMARC ने Namecheap PrivateEmail में अग्रेषण नियम सेट करके इसे सफलतापूर्वक दोहराया, जिससे मूल Google ईमेल को रिले करते समय `From:` हेडर को अनुकूलित करना संभव हो गया। महत्वपूर्ण बात यह है कि मूल, मान्य Google DKIM हस्ताक्षर इन रिले के माध्यम से रीप्ले किए गए संदेश के साथ चला।
Gmail सहित, प्राप्त करने वाले मेल सिस्टम DKIM जाँच करते हैं। चूँकि रीप्ले किए गए संदेश में `accounts.google.com` का एक अछूता, मान्य हस्ताक्षर था, इसलिए यह सत्यापन पास हो गया। यह सफल DKIM पास, `From:` एड्रेस डोमेन के साथ संरेखित होने के कारण, ईमेल को डोमेन-आधारित संदेश प्रमाणीकरण, रिपोर्टिंग और अनुरूपता (DMARC) जाँचों से गुजरने की अनुमति देता है।
DMARC नीतियाँ, जो स्पूफिंग को रोकने में मदद करती हैं, अक्सर संरेखित DKIM या SPF पासिंग पर निर्भर करती हैं। सिक्योरिटी बुलेवार्ड के अनुसार, DKIM रीप्ले तकनीक काम करती है, क्योंकि प्रोटोकॉल हस्ताक्षरित संदेश की सामग्री को ही मान्य करता है, ज़रूरी नहीं कि ईमेल जिस पथ से गया हो, उसे ही मान्य किया जाए। इस प्रकार, स्पूफ किया गया ईमेल पूरी तरह से प्रमाणित दिखाई देते हुए लक्षित इनबॉक्स में पहुँच जाता है।
Google साइट्स वैधता की एक परत जोड़ती है
हमले के अंतिम चरण में उपयोगकर्ताओं को ईमेल लिंक पर क्लिक करके Google साइट्स का उपयोग करके बनाए गए एक वेबपेज पर ले जाया गया। इस मुफ़्त वेबसाइट टूल ने हमलावरों को अपने क्रेडेंशियल हार्वेस्टिंग फ़ॉर्म को `google.com` URL के अंतर्गत होस्ट करने में सक्षम बनाया, जिससे वैधता की एक भ्रामक परत जुड़ गई। हालाँकि यह कोई आधिकारिक Google लॉगिन या सहायता पृष्ठ नहीं है, फिर भी इस परिचित डोमेन ने उपयोगकर्ताओं की सावधानी को कम कर दिया होगा।
EasyDMARC ने अपने विश्लेषण में ज़ोर देकर कहा, “सिर्फ़ इसलिए कि डोमेन वैध दिखता है, इसका मतलब यह नहीं है कि उसकी सामग्री वैध है।” यह रणनीति हाल ही में हुए अन्य फ़िशिंग अभियानों की तरह ही है, जैसे कि 2025 की पहली तिमाही में दुर्भावनापूर्ण SVG फ़ाइलों का उपयोग करके हमलों में वृद्धि, जो सुरक्षा फ़िल्टर से बचने के लिए वैध फ़ाइल प्रकारों का दुरुपयोग करती हैं।
Google की प्रतिक्रिया और व्यापक संदर्भ
जब OAuth ऐप नामों के माध्यम से टेक्स्ट इंजेक्ट करने से संबंधित भेद्यता की शुरुआत में रिपोर्ट की गई थी, तो Bleeping Computer ने कहा कि Google की पहली प्रतिक्रिया से संकेत मिलता है कि प्रक्रिया “उद्देश्यानुसार काम कर रही थी।”
हालांकि, सार्वजनिक रिपोर्टिंग और स्पष्ट सुरक्षा निहितार्थों के बीच, कंपनी ने अपना रुख बदल दिया। Google ने Newsweek को पुष्टि की कि उसे इस अभियान के बारे में पता था, जिसका श्रेय “Rockfoils” नामक एक ख़तरा पैदा करने वाले को दिया गया था, वह शमन उपायों को लागू कर रहा था, और शोषण किए गए विशिष्ट OAuth वेक्टर के लिए एक समाधान विकसित कर रहा था।
किसी प्रमुख सेवा के विरुद्ध DKIM रीप्ले का इस्तेमाल करने का यह पहला उदाहरण नहीं था; ब्लीपिंग कंप्यूटर ने भी मार्च 2025 में PayPal उपयोगकर्ताओं को लक्षित करने के लिए अपनी उपहार पता सुविधा का दुरुपयोग करके इसी तरह की एक विधि का उल्लेख किया था।
हालाँकि DKIM में स्वयं टाइमस्टैम्प (`t=`) और समाप्ति तिथियों (`x=`) जैसे तंत्र हैं जिनका उद्देश्य हस्ताक्षर की अवधि को सीमित करना है, फिर भी विभिन्न ईमेल प्रणालियों में उनका सार्वभौमिक कार्यान्वयन और प्रवर्तन असंगत बना हुआ है। इस हमले ने विशेष रूप से इस बात पर प्रकाश डाला कि कैसे एकीकृत एप्लिकेशन फ़ंक्शनों में हेरफेर करके हमलावर-नियंत्रित सामग्री वाले हस्ताक्षरित ईमेल उत्पन्न किए जा सकते हैं।
समन जैसी वास्तविक कानूनी प्रक्रियाएँ सख्त प्रोटोकॉल का पालन करती हैं और आमतौर पर no-reply@accounts.google.com से नहीं आती हैं। क्रेडेंशियल या संवेदनशील कार्रवाइयों की माँग करने वाले अप्रत्याशित ईमेल प्राप्त करने वाले उपयोगकर्ताओं को स्पष्ट ईमेल प्रमाणीकरण सफलता की परवाह किए बिना, अलग, ज्ञात संचार चैनलों के माध्यम से अनुरोध को सत्यापित करना चाहिए।
स्रोत: Winbuzzer / Digpu NewsTex