در یک حمله فیشینگ پیچیده و کم‌سابقه، مهاجمان سایبری با بهره‌گیری از سرویس Google Sites و یک روش پیشرفته به‌نام “بازپخش DKIM”، موفق شده‌اند ایمیل‌هایی با امضای معتبر از آدرس [email protected] ارسال کرده و کاربران را به صفحات جعلی هدایت کنند تا اطلاعات حساب گوگل آن‌ها را سرقت کنند.

این حمله با ارسال ایمیلی رسمی از طرف گوگل آغاز می‌شود که به دریافت احضاریه‌ای از سوی مراجع قانونی اشاره دارد و کاربران را به یک لینک در سایت Google Sites هدایت می‌کند. این لینک کاربر را به صفحه‌ای شبیه به Google Support می‌برد که گزینه‌هایی برای مشاهده یا بارگذاری مدارک دارد. کلیک روی این گزینه‌ها، کاربران را به صفحه ورود جعلی اما بسیار شبیه به صفحه واقعی Google هدایت می‌کند.

نکته مهم اینکه ایمیل ارسال‌شده تمام بررسی‌های امنیتی مانند SPF، DKIM و DMARC را با موفقیت پشت سر می‌گذارد، چراکه از زیرساخت‌های واقعی گوگل ارسال شده است. این کار از طریق ایجاد یک حساب کاربری گوگل جدید و اپلیکیشن OAuth حاوی متن پیام انجام می‌شود که باعث تولید پیام امنیتی واقعی از سوی گوگل می‌گردد. سپس این پیام با حفظ امضای DKIM به حساب‌های دیگر فوروارد می‌شود.

این حمله توسط زیرساخت‌هایی چون سرویس SMTP اختصاصی Jellyfish و ایمیل‌ سرور Namecheap پشتیبانی شده و از طریق زیرساخت PrivateEmail به دست قربانیان می‌رسد.

گوگل در پاسخ اعلام کرده که مسیر این سوءاستفاده مسدود شده و به کاربران توصیه کرده است از احراز هویت دومرحله‌ای و کلیدهای عبور استفاده کنند تا در برابر چنین حملاتی ایمن بمانند.

همزمان، گزارش‌هایی از افزایش حملات فیشینگ با استفاده از فایل‌های SVG نیز منتشر شده که به کمک کدهای HTML و JavaScript کاربران را به صفحات جعلی هدایت می‌کنند. شرکت کسپرسکی اعلام کرده که از ابتدای سال ۲۰۲۵ بیش از ۴۱۰۰ ایمیل فیشینگ با پیوست SVG شناسایی کرده است.