🔵Nhà phát triển chính của ENS tiết lộ lỗ hổng cho phép những kẻ lừa đảo mạo danh cảnh báo chính thức của Google

DeThings, ngày 17 tháng 4 - Theo báo cáo từ https://t.co/B7bzY2vhgG, nhà phát triển chính của ENS, Nick Johnson, đã tiết lộ một cuộc tấn công lừa đảo tinh vi, khai thác các lỗ hổng trong hệ thống của Google, đặc biệt là lỗ hổng OAuth đã được vá gần đây. Theo mô tả của Johnson, những kẻ tấn công trước tiên gửi các email gian lận có vẻ như đến từ bộ phận pháp lý của Google, nói dối rằng tài khoản của người nhận có liên quan đến một cuộc điều tra trát đòi hầu tòa. Các email này có chữ ký số DKIM thực và được gửi từ miền no-reply chính thức của Google, do đó có thể dễ dàng vượt qua bộ lọc thư rác của Gmail. Johnson chỉ ra rằng độ tin cậy của trò lừa đảo này tăng lên rất nhiều do một siêu liên kết https://t.co/HP7vhtKBzb đến một cổng hỗ trợ giả mạo. Trang đăng nhập Google giả mạo này đã phơi bày hai lỗ hổng bảo mật lớn: Thứ nhất, nền tảng Google Sites cho phép thực thi các tập lệnh tùy ý, cho phép tội phạm tạo các trang đánh cắp thông tin xác thực; thứ hai, bản thân giao thức OAuth có một lỗ hổng.
Johnson lên án việc Google ban đầu coi lỗ hổng này là "phù hợp với thiết kế dự kiến" và nhấn mạnh rằng lỗ hổng này gây ra một mối đe dọa nghiêm trọng. Tệ hơn nữa, cổng thông tin giả mạo sử dụng miền đáng tin cậy https://t.co/HP7vhtKBzb làm vỏ bọc, làm giảm đáng kể sự cảnh giác của người dùng. Ngoài ra, cơ chế báo cáo lạm dụng của Google Sites không hoàn thiện, dẫn đến việc các trang bất hợp pháp khó bị đóng cửa kịp thời. Dưới áp lực của công chúng, Google cuối cùng đã thừa nhận có vấn đề. Johnson sau đó xác nhận rằng Google có kế hoạch sửa chữa các khiếm khuyết của giao thức OAuth. Các chuyên gia bảo mật khuyên người dùng nên cảnh giác, hoài nghi về bất kỳ văn bản pháp lý bất ngờ nào và xác minh cẩn thận tính xác thực của địa chỉ trang web trước khi nhập thông tin xác thực.