在一次适当奇妙的进犯中,黑客运用了一个缝隙,得以发送一封看似来自谷歌体系的虚伪电子邮件,经过了一切验证,但指向了一个用于搜集登录信息的诈骗页面。
进犯者运用谷歌的基础设施拐骗收件人拜访一个看似合法的“支撑门户”,该门户要求供给谷歌账户凭据。
这条诈骗信息看似来自“no-”,而且经过了域名密钥辨认邮件(DKIM)验证办法,但实践发件人却并非如此。
以太坊域名服务(ENS)的首席开发者尼克·约翰逊收到了一封看似来自谷歌的安全警报,称法律部分已向谷歌宣布传票,要求获取他的谷歌账户内容。
谷歌乃至将其与其他合法的安全提示放在一同,以至于简直一切东西看起来都入情入理,这十分有可能会诈骗那些不太懂技能、不知道从何处寻觅诈骗痕迹的用户。
但是,约翰逊敏锐发现,电子邮件中的虚伪支撑门户网站保管在—谷歌的免费网站建造渠道上,这引起了人们的置疑。
在谷歌域名上,收件人意识到他们被瞄准的时机更低。约翰逊说,这个虚伪的支撑门户网站“和实在的彻底相同”,仅有的痕迹是它保管在上,而不是accounts.google.com上。
假门户在圈套中很简单解说,但聪明的部分是传递一条好像现已经过谷歌的DKIM验证的音讯,即所谓的DKIM重放网络垂钓进犯。
仔细观察电子邮件的概况信息就会发现,mailed-by头显现的地址与谷歌的no-reply不同,收件人是一个me@地址,坐落一个看起来像是由谷歌办理的域。但是,这条音讯是由谷歌签署和传递的。
约翰逊将头绪凑集起来,识破了骗子的手段。首要,他们会注册一个域名,并为“me@域名”创立一个谷歌账号。域名不是很重要,但看起来像某种基础设施会起到必定的协助。挑选“me”作为用户名很聪明,这位开发者解说道。
随后,进犯者创立了一个谷歌 OAuth 应用程序,并将其称号设为整个垂钓信息。在某个时分,该信息包括很多空白,以使其看起来已完毕,并与谷歌关于进犯者 电子邮件地址的拜访权限告诉区别开来。
当进犯者授权他们的OAuth应用程序拜访谷歌作业区中的电子邮件地址时,谷歌会自意向该收件箱发送安全警报。
因为谷歌生成了这封电子邮件,它用一个有用的DKIM密钥签名,并经过了一切的查看。最终一步是将安全警报转发给受害者。
谷歌体系的缺点是DKIM只查看音讯和头,而不查看信封。因而,假电子邮件经过了签名验证,并在收件人的收件箱中看起来是合法的。
此外,经过将诈骗地址命名为me@, Gmail将显现音讯,就好像它是发送到受害者的电子邮件地址相同。
电子邮件认证公司EasyDMARC也具体的介绍了约翰逊描绘的DKIM重放式网络垂钓进犯,并对每一步进行了技能解说。
谷歌以外的其他渠道也尝试过相似的技巧。本年3月,一场针对PayPal用户的进犯活动采用了相同的办法,即诈骗性信息来自这家金融公司的邮件服务器,并经过了DKIM的安全查看。
测验显现,进犯者运用“礼物地址”选项将新电子邮件链接到他们的PayPal账户。
增加新地址时有两个字段,进犯者用电子邮件填充其间一个字段,并将网络垂钓信息粘贴到第二个字段中。
PayPal会自意向进犯者的地址发送承认信息,该地址会将其转发到一个邮件列表,该邮件列表会将其转发给群组中一切潜在的受害者。
过后有媒体就此事联系了PayPal,但从未收到回复。Johnson还向谷歌提交了一份bug陈述,而谷歌开始的回复是“这样的一个进程是按计划进行的”。但不久后,谷歌认识到它对用户来说存在必定危险,现在正在尽力修正OAuth的缺点。
网站首页
电话咨询
返回顶部