近日,黑客利用Google OAuth的漏洞,发送伪造的电子邮件,这些邮件看似由Google系统发出,经过所有验证但却指向一个收集登录信息的虚假页面。
攻击者利用Google的基础设施,诱使接收者访问一个看似合法的“支持门户”,要求输入Google账户凭据。伪造的邮件来自“no-reply@google.com”,通过了DomainKeys Identified Mail (DKIM)认证,但实际发送者却不同。
Ethereum Name Service (ENS)的首席开发者Nick Johnson收到了一封看似来自Google的安全警报,称执法机构要求提供他的Google账户内容。几乎所有内容都显得非常真实,甚至被Google与其他合法的安全警报一同发送,这很容易欺骗那些不太了解欺诈迹象的用户。
Johnson敏锐地发现,邮件中的虚假支持门户托管在Google的免费网页构建平台sites.google.com上,而非accounts.google.com,这引起了他的怀疑。他认为,虚假网站的目的在于收集凭据,进而入侵接收者的账户。