مهاجمان سایبری با استفاده از یک روش پیچیده و غیرمعمول، موفق به ارسال ایمیل‌های جعلی از طریق زیرساخت گوگل شده‌اند که کاربران را به سایت‌های تقلبی هدایت می‌کند تا اطلاعات ورود آنها را سرقت کند. این حمله که به عنوان “حمله فیشینگ بسیار پیچیده” توصیف شده، از آدرس معتبر [email protected] ارسال می‌شود و تمام بررسی‌های امنیتی DKIM، SPF و DMARC را پاس می‌کند، بنابراین Gmail هیچ هشداری نمایش نمی‌دهد.

این حمله از تکنیک DKIM replay استفاده می‌کند که در آن مهاجم ابتدا یک حساب گوگل با دامنه جدید ایجاد کرده و سپس یک اپلیکیشن OAuth با نامی که شامل کل محتوای پیام فیشینگ است می‌سازد. پیام جعلی ادعا می‌کند که احضاریه‌ای از مقامات قانونی برای محتوای حساب گوگل کاربر وجود دارد و آنها را به کلیک روی لینک sites.google.com ترغیب می‌کند که به صفحه تقلبی ورود به حساب گوگل منتقل می‌شود. گوگل اعلام کرده که اقدامات لازم برای جلوگیری از این نوع سوءاستفاده را اعمال کرده و توصیه می‌کند کاربران از احراز هویت دو مرحله‌ای و passkey استفاده کنند.