新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
警惕:钓鱼者滥用Google OAuth协议,伪造谷歌系统身份
以太坊域名服务(ENS)首席开发者Nick Johnson收到一封伪装成谷歌安全警报的邮件,声称因执法机构传票要求获取其谷歌账户内容。
该邮件几乎完全仿冒真实警报,甚至被归类至合法安全通知会话中,极易误导非技术用户。然而Johnson发现邮件中的“支持门户”托管在谷歌免费建站平台sites.google.com上,由此产生怀疑。
由于域名归属谷歌,受害者更难识别风险。Johnson指出该钓鱼页面“与真实页面完全一致,唯一破绽在于托管在sites.google.com而非accounts.google.com”。
此次攻击的巧妙之处在于通过DKIM重放攻击使伪造邮件通过验证。邮件详情显示,“mailed-by”标头地址并非谷歌官方地址,收件人地址为攻击者伪造的类谷歌域名邮箱。但邮件仍由谷歌签名发送。
Johnson还原了攻击链条:
2、创建Google OAuth应用并将钓鱼信息写入应用名称字段
3、通过大量空白字符分隔合法通知与欺诈内容
4、授权OAuth应用访问邮箱时触发谷歌系统生成含有效DKIM签名的警报邮件
5、将警报邮件转发至受害者邮箱
邮件认证公司EasyDMARC的技术分析证实,由于DKIM仅验证邮件内容及标头而非信封,此类伪造邮件可绕过检测。
攻击者还利用“me@”前缀使Gmail显示邮件直接发送至受害者地址。类似手法已在PayPal平台重现。
3月的攻击中,欺诈者通过PayPal“礼品地址”功能绑定新邮箱,在地址字段插入钓鱼信息。PayPal系统自动发送的确认邮件经攻击者转发至受害者列表。BleepingComputer 就此问题联系了 PayPal,但一直未收到回复。
Johnson 还向 Google 提交了一份错误报告,该公司最初的回复是该流程运行正常。然而,Google 后来重新考虑了这个问题,认为它对用户构成了风险,目前正在努力修复 OAuth 漏洞。
目前已有至少6款信息窃取恶意软件滥用该机制,包括Lumma、Rhadamanthys等家族,可恢复过期谷歌认证Cookie实现持久访问。
来源网络,如有侵权请联系删除
