🔵ENS 首席開發者揭露允許網路釣魚者模仿 Google 官方警報的漏洞

DeThings 4 月 17 日電，據 https://t.co/B7bzY2vhgG 報導，ENS 首席開發者 Nick Johnson 揭露了一起精妙的網路釣魚攻擊，該攻擊利用了 Google 系統中的漏洞，尤其是近期已修復的 OAuth 漏洞。據 Johnson 描述，攻擊者先發送看似來自 Google 法律部門的欺詐郵件，謊稱收件人的帳戶涉及傳票調查。這些郵件帶有真實的 DKIM 數位簽名，且發自 Google 官方的 no-reply 域名，因此能輕易繞過 Gmail 的垃圾郵件過濾。Johnson 指出，該騙局的可信度因一個連結至偽造支援入口網站的 https://t.co/HP7vhtKBzb 超連結而大增。這個偽造的 Google 登入頁面暴露了兩大安全漏洞：一是 Google Sites 平台允許執行任意腳本，使犯罪分子能夠建立竊取憑證的頁面；二是 OAuth 協議本身存在缺陷。
Johnson 譴責 Google 最初將此漏洞視為「符合設計預期」，並強調該漏洞構成嚴重威脅。更糟的是，偽造入口網站利用 https://t.co/HP7vhtKBzb 這一可信域名作為掩護，極大地降低了使用者的警惕性。此外，Google Sites 的濫用舉報機制不完善，導致非法頁面難以及時被關閉。在公眾壓力下，Google 最終承認存在問題。Johnson 隨後確認，Google 計劃修復 OAuth 協議的缺陷。安全專家提醒使用者保持警惕，對任何意外的法律文書都要持懷疑態度，並在輸入憑證前仔細核實網址的真實性。