g.co, kasus serangan phishing yang memanfaatkan short URL milik Google

 (gist.github.com/zachlatta)
3 poin oleh GN⁺ 2025-01-25 | 1 komentar | Bagikan ke WhatsApp
  • Ada kasus ketika peretas menyalahgunakan subdomain (important.g.co) dari domain short URL resmi Google, g.co, untuk melancarkan serangan phishing yang canggih
  • Caller ID telepon muncul sebagai "Google", dan nomor penelepon juga (650) 203-0000, sehingga terlihat seolah-olah panggilan benar-benar berasal dari Google
  • Kualitas panggilan dan penggunaan bahasanya juga alami, sehingga tingkatnya sulit dicurigai sebagai phishing

Ringkasan isi panggilan

  • Penelepon mengaku sebagai karyawan "Google Workspace" dan menjelaskan situasi sambil menanyakan apakah baru-baru ini ada upaya login dari IP Frankfurt
  • Ketika pengguna curiga dan meminta, “tolong verifikasi lewat email resmi Google”, ia mengirim email dari alamat important.g.co
  • Karena itu adalah subdomain g.co yang diketahui dioperasikan oleh Google, korban diarahkan agar lebih mudah mempercayainya
  • Setelah itu, dengan alasan akan mereset sesi perangkat, ia mengirim kode autentikasi dua faktor (2FA) kepada pengguna dan mengarahkan agar kode tersebut ditekan
  • Jika kode itu diklik, peretas bisa memperoleh hak akses ke akun Google pengguna

Analisis email dan domain

  • g.co sendiri adalah domain URL pendek resmi milik Google
  • Namun, diduga ada celah yang memungkinkan pembuatan subdomain seperti important.g.co secara sewenang-wenang
    • Tampaknya ini memanfaatkan cacat dalam proses verifikasi domain Google Workspace untuk mendapatkan subdomain g.co tanpa verifikasi yang semestinya
  • DKIM/SPF pada email yang dikirim juga lolos secara normal, sehingga ditampilkan seperti email yang benar-benar dikirim oleh Google

Poin utama proses serangan

  • Spoofing telepon: Caller ID dimanipulasi agar tampil sebagai "Google"
  • Kemiripan dengan jalur kontak resmi: Dengan menyebut nomor telepon Google yang dikenal dan menunjukkan halaman dukungan Google yang asli, pelaku membangun kepercayaan
  • Dukungan suara yang sangat meyakinkan: Bahasa, sikap, dan alur pembicaraan penelepon dibuat sangat persuasif, seperti engineer sungguhan
  • Email dari subdomain g.co: Email dikirim ke pengguna sambil dijelaskan sebagai “subnet internal Google” untuk mengurangi kecurigaan
  • Permintaan kode 2FA: Pada akhirnya pelaku mengarahkan korban untuk logout dari sesi perangkat, dan bila pengguna menekan kode 2FA, peretas bisa mengakses akun

Analisis dari pihak Hack Club

  • Mereka mengajukan hipotesis bahwa di Google Workspace memang dimungkinkan untuk benar-benar memperoleh subdomain seperti important.g.co
  • Dengan celah ini, subdomain internal g.co dapat dihubungkan ke akun Google Workspace, sehingga email dengan autentikasi SPF/DKIM bisa dikirim secara sah
  • Sejumlah kontributor meninjau header email, konfigurasi domain, dan elemen lainnya untuk mengonfirmasi masalah tersebut

Ringkasan

  • Ini menunjukkan bahwa sekadar memeriksa “nomor resmi” dan “email dari domain resmi” yang selama ini dikenal belum tentu aman
  • Berbagai elemen yang tampak membuktikan bahwa panggilan atau email benar-benar dari Google—seperti nomor telepon, domain, dan DKIM/SPF—juga tidak menjamin kepercayaan
  • Dalam situasi mencurigakan, perlu sangat berhati-hati agar tidak menekan atau menyerahkan kode 2FA yang diminta
  • Ini tampak sebagai kasus penyalahgunaan kelemahan pada akun Google Workspace dan verifikasi domain, sehingga diperlukan peningkatan keamanan dari pihak penyedia layanan

Bacaan terkait

1 komentar

 
GN⁺ 2025-01-25
Opini Hacker News

  • Pernah mengunjungi situs phishing seperti "colnbase.com", dan menyadari masalahnya karena 1Password tidak mengisi kredensial secara otomatis. Situs phishing seperti ini berbahaya karena siapa pun bisa tertipu

  • Telepon yang mengaku dari perusahaan teknologi hampir semuanya penipuan. Caller ID maupun aksen penelepon tidak penting

  • Ada serangan phishing yang lolos SPF, DKIM, dan DMARC, dengan metode mengirim email melalui berbagi Google Form

  • Notifikasi reset kata sandi atau pembayaran mencurigakan dianggap sebagai phishing kecuali saya sendiri yang memintanya. Menurut saya lebih aman memeriksa dulu apakah benar ada masalah sebelum mengambil tindakan

  • Tidak ada catatan DNS untuk important.g.co, dan ada bug yang memungkinkan pengiriman email dari Google Workspace yang tidak terverifikasi. Diduga ada perlindungan yang hilang untuk domain g.co

  • Jika mengikuti dua "praktik terbaik" yaitu memverifikasi nomor telepon dan menerima email dari domain yang sah, saya pasti akan tertipu. Namun, saya tidak mengikuti praktik pertama, dan pengirim secara eksplisit menyatakan bahwa mereka tidak bisa menelepon

  • Penasaran bagaimana cara memalsukan email dari workspace-noreply@google.com. Frasa kata sandi untuk 'important.g.co' terasa aneh, sehingga mungkin ini strategi membuat akun 'paralel' dengan email yang sama agar terlihat seperti email resmi

  • Beberapa bulan lalu saya mengalami hal serupa, dan di Google Workspace ada fitur yang memungkinkan mengirim email kepada pengirim dan penerima tambahan yang dipilih. Saat saya meminta balasan, saya diberi tahu itu tidak mungkin, sehingga terasa mencurigakan

  • Google harus menanggapi serangan seperti ini dengan lebih tegas. Ada metode canggih untuk mengambil alih akun melalui alur pemulihan akun, dan saat saya melaporkannya, jawabannya adalah "bukan bug, diklasifikasikan sebagai risiko penyalahgunaan"

  • Kedaluwarsanya domain digunakan oleh pihak jahat untuk mengakses sistem, dan ini menjadi penyebab meningkatnya serangan siber belakangan ini