Google脆弱性使人說服網絡釣魚攻擊針對加密用戶

Ethereum 名稱服務（ENS）首席開發人員尼克·約翰遜（Nick Johnson）提醒了加密用戶，涉及Google基礎架構的一種新形式的網絡釣魚騙局。約翰遜在X上的一篇文章中解釋了騙子如何利用Google基礎架構中的漏洞。

根據約翰遜，騙子可以向用戶發送有效的郵件，該傳票已在Google上提供給他們的Google帳戶。該安全警報看起來完全真實，要求用戶抗議傳票或檢查案例材料。

他說：

“首先要注意的是，這是一封有效的簽名電子郵件 - 它確實是從no-reply@google.com發送的。它通過了DKIM簽名檢查，而Gmail在沒有任何警告的情況下顯示了它 - 甚至將其與其他合法安全警報相同的對話中。”

用戶單擊電子郵件中的鏈接後，他們必須簽署所謂的支持頁面。但是，支持門戶網站com.google.com作爲其URL，是一種欺騙用戶認爲它是真實的策略。根據約翰遜的說法，這個虛假的支持頁面可能是一個網絡釣魚網站，騙子收穫用戶的登錄dent。

ENS開發人員指出，漏洞可能會保留，特別是因爲Google拒絕採取行動。因此，對於用戶而言，重要的是要了解和保護自己。

騙子利用Google網站創建假支持頁面

同時，約翰遜解釋了糟糕的演員如何創建了看起來真實的假Google支持頁面。據他說，sites.google.com是科技巨頭的舊產品，允許用戶在Google.com子域上託管其內容。

他指出，該產品允許塗抹和嵌入，這就是騙子能夠在Google子域上構建CredentIAL收集站點並在Google Team刪除較舊版本時上傳新的。

約翰遜說：

“ Google很久以前意識到，在Google.com上託管公衆，用戶指定的內容是一個壞主意，但Google網站一直存在。”

但是，他指出，解決此問題的唯一解決方案是讓Google禁用其Google網站的紙條和任意嵌入，因爲這使該產品成爲騙子的強大網絡釣魚工具。

向Google報告錯誤報告

有趣的是，騙子通過利用Gmail中的錯誤來生成虛假的安全警報電子郵件。約翰遜在對電子郵件的分析中指出，諸如電子郵件標頭顯示了它是由“ privateemail.com”發送的，收件人是'me@blah'，以及網絡釣魚消息下方的空白空間。

據他說，詐騙者通過爲我@domain創建一個Google帳戶來做到這一點。之後，他們使用網絡釣魚電子郵件，Whitespace和“ Google Legal支持”中的文本創建了一個Google OAuth應用程序。

一旦完成此操作，他們就授予了OAuth應用程序訪問其“ Me@…” Google帳戶的訪問權限，允許他們從Google生成安全警報消息到ME@email。他們將此安全警報轉發給所有潛在目標。

由於Google生成了原始的安全警報電子郵件，因此它使用有效的DKIM密鑰簽名，繞過所有安全檢查，並在用戶收件箱中作爲合法消息出現。

但是，約翰遜說，他向Google提交了有關該錯誤的報告，但這家技術巨頭決定不解決該問題。取而代之的是，Google安全團隊關閉了報告，並指出該功能“按預期工作”，這意味着他們不認爲這是一個錯誤。

同時，開拓騙子的報告利用Google漏洞來竊取用戶的信息，突顯了加密用戶面臨的多種威脅。就在幾天前，安全專家聲稱黑客正在使用InfoStealers惡意軟件從瀏覽器中dent用戶。

密碼大都會學院：厭倦了市場波動？瞭解DeFi幫助您建立穩定的被動收入。立即註冊