'史上最精密'的钓鱼攻击

个人感觉国外社工和诈骗有得一拼啊！

g.co（Google的官方短网址，更新：或是Google Workspace的域名验证，详见文末）已被攻击者突破。现在有人正在窃取他人的Google账号。

刚刚我遇到了一次史上最精密的钓鱼攻击。我差点就上当了。这件事让我震惊不已。

1. 一个叫"Chloe"的人打电话给我，号码是650-203-0000，来电显示是"Google"。她听起来就像个真正的工程师，通话质量非常清晰，说着一口美式英语。

2. 他们自称是Google Workspace的工作人员，说有人最近侵入了我的账号，但他们已经拦截了这次入侵。他们问我最近是否在德国法兰克福登录过账号，我说没有。

3. 我要求他们通过Google邮箱发邮件给我以证实身份，他们答应了，并发来这封邮件，让我查看邮件中的工单号，我确实在邮件串中看到了这个号码。我问为什么显示important.g.co，她解释说这是Google的内部子网。

你可能会想，这肯定不是来自google.com的邮件吧？一定是利用g.co（该域名没有开启DKIM/SPF）伪造的邮件吧？但事实并非如此。

你可以在这里(https://cloud-4iqge4j0c-hack-club-bot.vercel.app/0your_google_account_password_for_important.g.co_has_changed.eml)下载原始邮件。

但是等等 - important.g.co一定是个非官方网址吧？这应该类似于之前的Google Docs钓鱼攻击(https://x.com/zachlatta/status/859843151757955072)吧？

不是的 - g.co是Google的官方网址，Google自己也这么说！

3. 我问是否可以回拨Google.com上列出的电话号码，她说当然可以 - 这个号码就在google.com上，你可以带着工单号回拨，不过可能需要等待，而且可能会接到其他客服。我搜索了一下，确实在google.com的页面上找到了这个号码。不过我最终没有回拨。

4. 我说好吧：你想让我做什么？她说我们可以直接在我的设备上重置所有会话，她不需要我提供任何信息。我说好的，告诉我怎么做。这时我想起来应该查看Google Workspace的日志，但没有发现任何可疑IP的登录尝试。我问她在哪里能找到他们提到的那次尝试，她给了我详细的操作指导，并说很奇怪看不到记录，可能需要等缓存刷新后才能显示。她提出可以帮我转接给主管。我拒绝了。

5. 我们又聊了大约5分钟，我一直在查看Google Workspace的日志试图找到蛛丝马迹，然后她正说着话时电话突然断了。30秒后，她的主管"Solomon"打来电话，说他听说我在浏览Google Workspace管理日志时遇到了困难，可以帮我指导。

6. 我们来回交谈，他解释说账号可能是通过一个劫持了Gmail凭据的Chrome广告拦截器扩展程序被入侵的。

7. 在交谈过程中，他说了一些让我更加起疑的话。我让他给我指出这个电话号码在Google.com上的具体位置，他让我输入https://support.google.com/business/answer/7690269?hl=en，确实找到了这个号码 - 但它是列在"Google Assistant"下面的。可疑。我问是否可以回拨这个号码，他说不行 - 这与"Chloe"说的不一样。很可疑。

8. 然后我说"好的，我们来重置账号吧"，想看看他想让我做什么。他说好 - 在手机上打开Gmail，让我给你演示如何在重置密码前登出所有其他活动设备，这样法兰克福的电脑就会被登出。

9. 他接着说：好，我刚刚给你发送了一个重置码。它应该会在你的屏幕上弹出，显示"84"，果然显示的三个验证码中有一个是84。他说只要点击它，除了你的手机以外的所有会话就都会被登出。这样操作会让他获得我账号的访问权限！

10. 当我确定这是钓鱼攻击后，我开始录音。这里(https://cloud-3s03ljpcy-hack-club-bot.vercel.app/0call_recording.m4a)是最后7分钟的通话录音。注意：当我开始录音时，我的iOS设备向他播放了录音提示音。

11. 他让我打开"他的"LinkedIn账号来验证他的身份和他在Google的工作。最后他给我发了一个非常可疑的双重验证短信码，在我问了更多关于他们如何做到这一切的问题后，他挂断了电话。

最疯狂的是，如果我严格遵循了验证电话号码和要求他们从合法域名发送邮件这两个"最佳实践"，我的账号就真的会被入侵。

我理解他们是如何通过Google Assistant伪装"Google"来电的，但我完全不明白他们是如何获取important.g.co访问权限的。g.co是Google的合法(https://en.wikipedia.org/wiki/G.co)网址。

就差一个按键的点击，我的账号就完全被攻破了。而我还是个技术人员！

Hack Club的成员们发现这很可能是Google Workspace的一个漏洞，你可以用任何g.co子域名创建新的Workspace，并在不验证域名所有权的情况下发送某些邮件。

• 原文地址：https://gist.github.com/zachlatta/f86317493654b550c689dc6509973aa4