ஒரு ஃபிஷிங் பிரச்சாரத்தில் ஹேக்கர்கள் வெற்றிகரமாக கூகிளைப் போல ஆள்மாறாட்டம் செய்துள்ளனர், முறையான மின்னஞ்சல் பாதுகாப்பு கையொப்பங்களை புத்திசாலித்தனமாக மீண்டும் பயன்படுத்துவதன் மூலம் உண்மையானதாகத் தோன்றும் மின்னஞ்சல்களை அனுப்பியுள்ளனர். பாதுகாப்பு நிறுவனமான EasyDMARC, டொமைன்கீஸ் ஐடென்டிஃபைட் மெயில் (DKIM) தரநிலையை ரீப்ளே நுட்பத்தைப் பயன்படுத்தி ஹேக்கர்கள் எவ்வாறு சுரண்டுகிறார்கள் என்பதை விவரித்துள்ளது. இந்த பிரச்சாரம் பயனர்கள் தங்கள் Google கணக்குகளை சமரசம் செய்ய அழுத்தம் கொடுக்க போலி சப்போனா அறிவிப்புகளைப் பயன்படுத்துகிறது.
ஏமாற்றுவதற்காக OAuth மற்றும் DKIM ஐ சுரண்டுதல்
மோசடியின் மையமானது, தாக்குபவரின் தீங்கிழைக்கும் உள்ளடக்கத்தைக் கொண்ட DKIM-கையொப்பமிடப்பட்ட மின்னஞ்சல்களை உருவாக்க கூகிளின் சொந்த அமைப்புகளை, குறிப்பாக அதன் OAuth பயன்பாட்டு கட்டமைப்பை கையாளுவதை உள்ளடக்கியது. ஆராய்ச்சியாளர்களால் விளக்கப்பட்டு, EasyDMARC இன் மறுஉருவாக்க முயற்சிகள் மூலம் உறுதிப்படுத்தப்பட்டபடி, ஹேக்கர்கள் ஒரு Google OAuth பயன்பாட்டை உருவாக்கி, அவர்களின் ஃபிஷிங் செய்தியை – போலி சட்ட எச்சரிக்கையை – நேரடியாக பயன்பாட்டின் பெயர் புலத்தில் உட்பொதித்தனர்.
இந்த செயலிக்கு அனுமதிகள் வழங்கப்பட்டபோது (Namecheap வழியாக பதிவுசெய்யப்பட்டு Google Workspace இல் சரிபார்க்கப்பட்ட டொமைனில் தாக்குபவர் கட்டுப்படுத்தும் கணக்கைப் பயன்படுத்துவதற்கான வாய்ப்பு உள்ளது), Google தானாகவே ஒரு நிலையான பாதுகாப்பு அறிவிப்பு மின்னஞ்சலை உருவாக்கியது. no-reply@accounts.google.com என்ற முறையான முகவரியிலிருந்து அனுப்பப்பட்ட இந்த அறிவிப்பில், தாக்குபவர் உருவாக்கிய ஆப்ஸ் பெயரிலிருந்து உரை சேர்க்கப்பட்டுள்ளது, மேலும் குறிப்பிட்ட விசை அடையாளங்காட்டியைப் (தேர்வுக் கருவி `s=`) பயன்படுத்தி Google இன் DKIM கையொப்பத்தை (`d=accounts.google.com`) பயன்படுத்தி சரியாக கையொப்பமிடப்பட்டது.
சட்டப்பூர்வமாக கையொப்பமிடப்பட்ட இந்த அறிவிப்பு ஆயுதமாக மாறியது. கையொப்பமிடப்பட்ட தலைப்புகள் மற்றும் உடல் உள்ளடக்கம் மாறாமல் இருப்பதை உறுதிசெய்து, தாக்குபவர்கள் இந்த மின்னஞ்சலைப் பிடித்தனர். அனுப்புநரின் டொமைனால் கையொப்பமிடப்பட்டதிலிருந்து மின்னஞ்சலின் குறிப்பிட்ட பகுதிகள் சேதப்படுத்தப்படவில்லை என்பதைச் சரிபார்க்க DKIM வடிவமைக்கப்பட்டுள்ளது. அதன் சரிபார்ப்பு அனுப்புநரின் டொமைனின் DNS இல் வெளியிடப்பட்ட பொது விசையைச் சார்ந்துள்ளது, இது கையொப்பமிடுவதற்குப் பயன்படுத்தப்படும் தனிப்பட்ட விசையுடன் தொடர்புடையது.
ரிலே மற்றும் ரீப்ளே மூலம் அங்கீகாரத்தைத் தவிர்ப்பது
தாக்குதல் நடத்தியவர்கள் தொடர்பில்லாத மூன்றாம் தரப்பு அஞ்சல் உள்கட்டமைப்பைப் பயன்படுத்தி இந்த கைப்பற்றப்பட்ட, கையொப்பமிடப்பட்ட மின்னஞ்சலை எதிர்த்தனர். பகுப்பாய்வு பரிந்துரைத்த அமைப்புகள், மைக்ரோசாப்டின் Outlook.com மற்றும் Namecheap இன் PrivateEmail பகிர்தல் சேவை உள்ளிட்டவை, இறுதி இலக்குகளுக்கு செய்தியை அனுப்பப் பயன்படுத்தப்பட்டன.
EasyDMARC, Namecheap PrivateEmail இல் பகிர்தல் விதிகளை அமைப்பதன் மூலம் இதை வெற்றிகரமாக மீண்டும் உருவாக்கியது, இது அசல் Google மின்னஞ்சலை அனுப்பும் போது `From:` தலைப்பைத் தனிப்பயனாக்க அனுமதித்தது. முக்கியமான அம்சம் என்னவென்றால், அசல், செல்லுபடியாகும் Google DKIM கையொப்பம் இந்த ரிலேக்கள் மூலம் மீண்டும் இயக்கப்பட்ட செய்தியுடன் பயணித்தது.
ஜிமெயில் உட்பட அஞ்சல் பெறும் அமைப்புகள் DKIM சோதனைகளைச் செய்கின்றன. மீண்டும் இயக்கப்பட்ட செய்தியில் `accounts.google.com` இலிருந்து தொடப்படாத, செல்லுபடியாகும் கையொப்பம் இருந்ததால், அது இந்த சரிபார்ப்பைக் கடந்துவிட்டது. இந்த வெற்றிகரமான DKIM பாஸ், `From:` முகவரி டொமைனுடன் சீரமைக்கப்பட்டது, பின்னர் மின்னஞ்சல் டொமைன் அடிப்படையிலான செய்தி அங்கீகாரம், அறிக்கையிடல் மற்றும் இணக்கம் (DMARC) சோதனைகளை அனுப்ப அனுமதித்தது.
ஏமாற்றுவதைத் தடுக்க உதவும் DMARC கொள்கைகள், பெரும்பாலும் சீரமைக்கப்பட்ட DKIM அல்லது SPF பாஸிங்கை நம்பியுள்ளன. பாதுகாப்பு பவுல்வர்டு குறிப்பிட்டுள்ளபடி, DKIM ரீப்ளே நுட்பம் செயல்படுகிறது, ஏனெனில் நெறிமுறை கையொப்பமிடப்பட்ட செய்தி உள்ளடக்கத்தையே சரிபார்க்கிறது, மின்னஞ்சல் எடுத்த பாதை அவசியமில்லை. இதனால், ஏமாற்றப்பட்ட மின்னஞ்சல் இலக்கு இன்பாக்ஸ்களில் முழுமையாக அங்கீகரிக்கப்பட்டதாகத் தோன்றுகிறது.
Google தளங்கள் சட்டப்பூர்வ அடுக்கைச் சேர்க்கிறது
தாக்குதலின் இறுதிப் படி, பயனர்கள் மின்னஞ்சல் இணைப்பைக் கிளிக் செய்வதை Google தளங்களைப் பயன்படுத்தி உருவாக்கப்பட்ட வலைப்பக்கத்திற்கு வழிநடத்தியது. இந்த இலவச வலைத்தள கருவி, தாக்குபவர்கள் தங்கள் நற்சான்றிதழ் அறுவடை படிவத்தை `google.com` URL இன் கீழ் ஹோஸ்ட் செய்ய உதவியது, இது ஒரு ஏமாற்றும் சட்டப்பூர்வ அடுக்கைச் சேர்த்தது. அதிகாரப்பூர்வ Google உள்நுழைவு அல்லது ஆதரவுப் பக்கம் இல்லாவிட்டாலும், பழக்கமான டொமைன் பயனர் எச்சரிக்கையைக் குறைத்திருக்கலாம்.
EasyDMARC அதன் பகுப்பாய்வில், “டொமைன் முறையானதாகத் தோன்றுவதால் உள்ளடக்கம் அப்படி இல்லை” என்று வலியுறுத்தியது. இந்த தந்திரோபாயம், தீங்கிழைக்கும் SVG கோப்புகளைப் பயன்படுத்தி தாக்குதல்களில் Q1 2025 அதிகரிப்பு போன்ற பிற சமீபத்திய ஃபிஷிங் பிரச்சாரங்களை பிரதிபலிக்கிறது, இது பாதுகாப்பு வடிப்பான்களைத் தவிர்க்க முறையான கோப்பு வகைகளை துஷ்பிரயோகம் செய்கிறது.
Google இன் பதில் மற்றும் பரந்த சூழல்
OAuth பயன்பாட்டு பெயர்கள் வழியாக உரையை உட்செலுத்துவது தொடர்பான பாதிப்பு ஆரம்பத்தில் புகாரளிக்கப்பட்டபோது, Bleeping Computer கூகிளின் முதல் பதில் செயல்முறை “நோக்கம் கொண்டபடி செயல்படுவதை” சுட்டிக்காட்டியது.
இருப்பினும், பொது அறிக்கையிடல் மற்றும் தெளிவான பாதுகாப்பு தாக்கங்களுக்கு மத்தியில், நிறுவனம் அதன் நிலைப்பாட்டை மாற்றியது. “ராக்ஃபோயில்ஸ்” என்ற அச்சுறுத்தல் நடிகரால் ஏற்படுத்தப்பட்டதாகக் கூறப்படும் இந்த பிரச்சாரம், தணிப்பு நடவடிக்கைகளைப் பயன்படுத்தி வருவதாகவும், குறிப்பிட்ட OAuth வெக்டரைப் பயன்படுத்தி ஒரு தீர்வை உருவாக்கி வருவதாகவும் கூகிள் நியூஸ் வீக்கிற்கு உறுதிப்படுத்தியது.
ஒரு பெரிய சேவைக்கு எதிராக DKIM ரீப்ளே பயன்படுத்தப்பட்டதற்கான முதல் எடுத்துக்காட்டு இதுவல்ல; மார்ச் 2025 இல் அதன் பரிசு முகவரி அம்சத்தை தவறாகப் பயன்படுத்துவதன் மூலம் PayPal பயனர்களை குறிவைத்து இதேபோன்ற முறையை Bleeping Computer குறிப்பிட்டது.
கையொப்பத்தின் ஆயுட்காலத்தைக் கட்டுப்படுத்தும் நோக்கில் நேர முத்திரைகள் (`t=`) மற்றும் காலாவதி தேதிகள் (`x=`) போன்ற வழிமுறைகளை DKIM கொண்டுள்ளது என்றாலும், பல்வேறு மின்னஞ்சல் அமைப்புகளில் அவற்றின் உலகளாவிய செயல்படுத்தல் மற்றும் அமலாக்கம் சீரற்றதாகவே உள்ளது. தாக்குபவர் கட்டுப்படுத்தும் உள்ளடக்கத்தைக் கொண்ட கையொப்பமிடப்பட்ட மின்னஞ்சல்களை உருவாக்க ஒருங்கிணைந்த பயன்பாட்டு செயல்பாடுகளை எவ்வாறு கையாள முடியும் என்பதை இந்தத் தாக்குதல் குறிப்பாக எடுத்துக்காட்டுகிறது.
சப்போனாக்கள் போன்ற உண்மையான சட்ட செயல்முறைகள் கடுமையான நெறிமுறைகளைப் பின்பற்றுகின்றன, மேலும் அவை பொதுவாக no-reply@accounts.google.com இலிருந்து வரும் ஒன்றல்ல. சான்றுகள் அல்லது முக்கியமான செயல்களைக் கோரும் எதிர்பாராத மின்னஞ்சல்களைப் பெறும் பயனர்கள், வெளிப்படையான மின்னஞ்சல் அங்கீகார வெற்றியைப் பொருட்படுத்தாமல், தனித்தனி, அறியப்பட்ட தொடர்பு சேனல்கள் மூலம் கோரிக்கையைச் சரிபார்க்க வேண்டும்.
மூலம்: வின்பஸர் / டிக்பு நியூஸ்டெக்ஸ்