本站 4月17日消息,据Bitcoin.com报道,ENS首席开发者Nick Johnson揭露了一起精妙的网络钓鱼攻击,该攻击利用了谷歌系统中的漏洞,尤其是近期已修复的OAuth漏洞。据Johnson描述,攻击者先发送看似来自谷歌法律部门的欺诈邮件,谎称收件人的账户涉及传票调查。这些邮件带有真实的DKIM数字签名,且发自谷歌官方的no-reply域名,因此能轻易绕过Gmail的垃圾邮件过滤。Johnson指出,该骗局的可信度因一个链接至伪造支持门户的sites.google.com超链接而大增。这个伪造的谷歌登录页面暴露了两大安全漏洞:一是Google Sites平台允许执行任意脚本,使犯罪分子能够创建窃取凭证的页面;二是OAuth协议本身存在缺陷。
Johnson谴责谷歌最初将此漏洞视为“符合设计预期”,并强调该漏洞构成严重威胁。更糟糕的是,伪造门户利用sites.google.com这一可信域名作为掩护,极大地降低了用户的警惕性。此外,Google Sites的滥用举报机制不完善,导致非法页面难以及时被关闭。在公众压力下,谷歌最终承认存在问题。Johnson随后确认,谷歌计划修复OAuth协议的缺陷。安全专家提醒用户保持警惕,对任何意外的法律文书都要持怀疑态度,并在输入凭证前仔细核实网址的真实性。