Ser ut som Google – men är en fälla

Experter larmar om avancerat nätfiske – kan kapa ditt konto utan att du märker något

Ett mejl från [email protected] låter kanske säkert – men just nu sprids en mycket avancerad bluff via just den adressen. Säkerhetsexperter slår nu larm om en ny typ av nätfiskeattack som lurar även erfarna användare.

LÄS OCKSÅ: Skydda dina bilder i macOS Sequoia – Så säkerhetskopierar du hela Photos-biblioteket

Så fungerar bluffen – ser helt äkta ut

Det var Nick Johnson, grundare av Ethereum Name Service, som i april avslöjade bluffen i ett inlägg på X (tidigare Twitter). Mejlet ser till synes legitimt ut, eftersom det:

• Kommer från en riktig Google-adress
  
• Har ett giltigt DKIM-signerat certifikat
  
• Visas utan varning i Gmail
  
• Hamnar i samma tråd som Googles riktiga säkerhetsmejl
  

Länken i mejlet leder till en trovärdig supportsida – men klickar du vidare till ”Ladda upp dokument” eller ”Visa ärende”, hamnar du på en exakt kopia av Googles inloggningssida.

LÄS OCKSÅ: Äntligen! Byt till Google Translate som standard i din iPhone

Men här finns ett avslöjande tecken: adressen är inte accounts.google.com – utan sites.google.com, varnar UNILAD. 

Så luras Googles egna säkerhetsrutiner

Bluffen bygger på att bedragarna skapar ett Google-konto, kopplar det till en falsk OAuth-app och skickar ett internt säkerhetsmejl till sig själva. Eftersom det är Google som skickar meddelandet, blir det också korrekt signerat och verifierat.

De vidarebefordrar sedan mejlet till offret – och eftersom mejlet är korrekt signerat, klassas det som säkert av Gmail.

LÄS OCKSÅ: iOS 19 är på väg: Tre banbrytande nyheter Apple snart avslöjar

Därför går bluffen under radarn

Tricket är att kontot de använder heter något i stil med [email protected]. Det gör att Gmail visar mottagaren som ”me”, vilket är exakt hur Gmail visar dina egna säkerhetsmejl – ännu en detalj som gör bluffen svår att avslöja.

Nick Johnson pekar på två säkerhetsluckor hos Google som möjliggör detta:

• Att man kan skapa och publicera innehåll fritt via sites.google.com
  
• Att det saknas möjlighet att rapportera missbruk direkt i Sites
  

Så känner du igen bluffmejlet

Trots att mejlet är skickligt maskerat, finns det några tecken att hålla utkik efter:

• Mejlet är visserligen signerat av Google – men skickades i själva verket via privateemail.com
  
• Längst ner finns mycket vitt utrymme, följt av ett meddelande om att ”Google Legal Support” fått tillgång till ditt konto – något Google aldrig skulle kommunicera på det sättet
  

Googles svar: Vi har agerat

Google bekräftar att man känner till attacken. En talesperson säger till UNILAD:

”Vi är medvetna om denna typ av riktad attack och har vidtagit åtgärder för att stänga ner detta tillvägagångssätt. Under tiden uppmanar vi användare att aktivera tvåfaktorsautentisering och passnycklar för att skydda sig.”