Google heeft bevestigd dat zijn e-mailverificatiesysteem is omzeild. Met andere woorden, de kwaadwillende actoren konden beveiligingsprotocollen omzeilen.
Google erkent dat e-mailverificatie is omzeild
Google heeft een eenvoudig maar zeer robuust en betrouwbaar e-mailverificatiesysteem dat het eigendom van een e-mailaccount kan bevestigen. Echter, dreigingsactoren zouden dit proces kunnen omzeilen om frauduleus te associëren met legitieme accounts.
Door de beveiligingsinbreuk konden hackers Google Workspace-accounts aanmaken. Daarnaast kregen kwaadwillende actoren toegang tot services van derden zonder dat de daadwerkelijke eigenaar van het Google-account hierbij betrokken was.
🚨Let op, iedereen! Oplichters hebben een sluwe manier gevonden om Google’s e-mailverificatie voor Workspace-accounts te omzeilen en toegang te krijgen tot services van derden! Lees hier de volledige scoop: https://t.co/ucHpfh9BUv #Cyberbeveiliging #GoogleWerkruimte
— Frank Cisco 🌟 (@fcarmona) 26 juli 2024
Google heeft erkend op de hoogte te zijn van de nieuwe exploit door een verklaring uit te brengen, zo meldt KrebsOnSecurity:
“De afgelopen weken hebben we een kleinschalige misbruikcampagne geïdentificeerd waarbij kwaadwillenden de e-mailverificatiestap in onze accountcreatiestroom voor Email Verified (EV) Google Workspace-accounts omzeilden met behulp van een speciaal geconstrueerd verzoek. Deze EV-gebruikers konden vervolgens worden gebruikt om toegang te krijgen tot applicaties van derden met behulp van ‘Aanmelden met Google’.”
Onderzoekers van Zscaler hebben nieuwe activiteit van Kimsuky waargenomen. De groep gebruikte een nieuwe Google Chrome-extensie, “TRANSLATEXT”, die beveiligingsmaatregelen voor e-mailproviders zoals Gmail, Kakao & Naver (populair in Zuid-Korea) kan omzeilen om informatie te stelen. https://t.co/Qgopi4RdOM foto.twitter.com/38IciVfUsQ
— Virusbulletin (@virusbtn) 28 juni 2024
Anu Yamunan, directeur van abuse and safety protections bij Google Workspace, gaf aan dat de kwaadaardige activiteit vorige maand begon. Hoewel er misschien geen exact cijfer naar voren komt, zijn er volgens Yamunan “een paar duizend” Workspace-accounts aangemaakt zonder domeinverificatie.
Hoe blijft u beschermd tegen de nieuwste beveiligingsdreigingen?
Google erkende niet alleen de veiligheid bedreiging maar de exploit binnen 72 uur na ontdekking geplugd. De zoekgigant beweert dat het extra detectieprotocollen heeft ingezet om gebruikers te beschermen tegen dergelijke authenticatie-omzeilingstechnieken.
Dit betekent dat internetgebruikers die vertrouwen op e-mailverificatie zich geen zorgen hoeven te maken. Ongeacht of Google de exploit patcht, is het verstandig om de komende weken voorzichtig te zijn. Internetgebruikers moeten opletten op e-mails die abonnementen, logins of aankopen bevestigen.
Ontmaskering van *Tycoon 2FA: een heimelijke phishingkit die wordt gebruikt om Microsoft 365 en Google MFA te omzeilen: https://t.co/3DDoW1pY9h
*Tycoon 2FA: een diepgaande analyse van de nieuwste versie van de AiTM phishingkit: https://t.co/KcqpsbBEyB foto.twitter.com/N6o5I4kyDA
— Binni Shah (@binitamshah) 11 mei 2024
Een van de slachtoffers beweerde dat kwaadwillenden een ongeautoriseerd Workspace-account hadden aangemaakt. Ze koppelden een legitiem domein aan dit account en probeerden in te loggen op gesynchroniseerde services van derden.
De komende dagen kunnen internetgebruikers legitieme e-mails ontvangen van authentieke serviceproviders die hen informeren over aankopen of logins vanaf onbekende of verdachte locaties. Het is verstandig om mogelijke ongeautoriseerde toegang te controleren en wachtwoorden te wijzigen indien nodig.