전문가들이 구글을 사칭한 고도화된 피싱 사기에 대해 경고하고 있다. 이더리움 네임 서비스(ENS) 수석 개발자 닉 존슨(Nick Johnson)은 X(구 트위터)를 통해 자신이 직접 이 공격의 표적이 되었으며, 이 수법이 구글 인프라의 취약점을 악용하고 있다고 밝혔다.

이 피싱 공격은 법 집행기관의 요청처럼 위장된 이메일을 통해 사용자에게 계정 정보 입력을 유도한다. 이메일은 구글의 공식 도메인에서 온 것처럼 보이고, 기존 보안 경고 이메일과 같은 대화 스레드에 포함되어 신뢰를 유도한다. 사용자가 ‘자료 제출’이나 ‘사건 보기’를 클릭하면 가짜 로그인 페이지로 이동하게 되며, 이곳에서 입력한 자격 증명은 해커에게 전달된다. 공격자는 구글 사이트 플랫폼을 이용해 해당 가짜 포털을 제작했으며, 이 도메인이 google.com 하위 도메인을 사용하기 때문에 사용자들은 진짜로 착각하기 쉽다. 존슨은 특히 이 공격이 구글이 아직 수정하지 않은 두 가지 인프라 취약점을 활용하고 있다고 지적했다. 그는 구글에 사이트 플랫폼에서의 임의 스크립트 실행 금지 등 보안 조치를 요구했으며, 사용자는 보낸 사람의 실제 주소 및 도메인을 반드시 확인해야 한다고 조언했다.

A sophisticated phishing scam spoofing Google is making rounds, fooling even tech-savvy users into surrendering their credentials. ENS lead developer Nick Johnson revealed on X that he was personally targeted by this campaign, which exploits vulnerabilities in Google’s infrastructure. The phishing email poses as a subpoena notification from law enforcement, directing users to a legitimate-looking Google Support Case portal. Links like “upload documents” or “view case” redirect victims to a fake sign-in page designed to harvest login credentials. What makes the scam more dangerous is that it originates from a no-reply@google.com address, appears in the same email thread as actual Google security alerts, and uses Google Sites to host the spoofed support portal. Since Google Sites use the google.com domain, the attack seems authentic at first glance. Johnson claims the attack leverages two longstanding flaws in Google's legacy systems that allow for arbitrary script embedding on Google Sites. He warns this makes it trivial for attackers to replicate login portals and rotate them as they’re taken down. To spot such scams, users should inspect email headers carefully, especially the “sent from” domain, and avoid clicking on suspicious links—even if they appear to come from trusted sources.