Ethereum 名称服务 (ENS) 首席开发者 Nick Johnson 提醒加密货币用户注意一种利用谷歌基础设施的新型网络钓鱼诈骗。Johnson 在 X 网站上发表的一篇文章中解释了诈骗分子如何利用谷歌基础设施中的一个漏洞。.
约翰逊指出,诈骗分子会发送看似真实的邮件,告知用户谷歌已收到传票,要求其交出谷歌账户信息。这封安全警报看起来完全可信,会要求用户对传票提出异议或查看案件材料。
他说:
“首先需要注意的是,这是一封有效的、已签名的电子邮件——它确实是从[email protected]。它通过了DKIM签名验证,Gmail也毫无警告地显示了它——甚至将其与其他合法的安全警报放在同一个对话中。”
用户点击邮件中的链接后,会被要求在所谓的“支持页面”上签名。然而,该支持门户的网址却是 sites.google.com,这是一种欺骗用户使其误以为是正规网站的伎俩。约翰逊表示,这个虚假的支持页面很可能是一个钓鱼网站,诈骗分子会通过该网站窃取用户的登录dent。.
ENS开发者指出,该漏洞很可能依然存在,尤其是在谷歌拒绝采取行动的情况下。因此,用户务必提高警惕并做好防护措施。.
诈骗分子利用 Google Sites 创建虚假支持页面
与此同时,约翰逊解释了不法分子如何创建看起来很真实的虚假谷歌支持页面。据他介绍,sites.google.com 是这家科技巨头的一项遗留产品,允许用户在 Google.com 子域名上托管内容。.
他指出,该产品允许脚本和嵌入,因此诈骗分子能够在 Google 子域名上建立dent收集网站,并在 Google 团队删除旧版本时上传新版本。.
约翰逊说:
“谷歌很早就意识到在 google.com 上托管公开的、用户指定的内容是一个糟糕的想法,但 Google Sites 却一直存在。”
然而,他指出,解决此问题的唯一办法是谷歌禁用其 Google Sites 的脚本和任意嵌入功能,因为这使得该产品成为诈骗分子强大的网络钓鱼工具。.
向谷歌提交错误报告
有趣的是,诈骗分子利用 Gmail 的一个漏洞生成了虚假的安全警报邮件。约翰逊在分析这封邮件时指出了一些线索,例如邮件头显示邮件由“privateemail.com”发送,收件人是“me@blah”,以及钓鱼信息下方的空白区域。.
据他所说,骗子们先以 Me@domain 的名义创建了一个 Google 帐户。之后,他们使用钓鱼邮件中的文本、空格以及“Google Legal Support”作为应用程序名称,创建了一个 Google OAuth 应用程序。.
完成上述操作后,他们授予 OAuth 应用访问其“me@…”Google 帐户的权限,从而允许其从 Google 生成安全警报消息并发送到 me@email。他们将此安全警报转发给了所有潜在目标。.
由于原始安全警报电子邮件是由 Google 生成的,因此它使用有效的 DKIM 密钥进行了签名,绕过了所有安全检查,并在用户的收件箱中显示为合法邮件。.
然而,约翰逊表示他已向谷歌提交了关于此漏洞的报告,但这家科技巨头决定不予处理。谷歌安全团队关闭了该报告,并指出该功能“运行正常”,这意味着他们不认为这是一个漏洞。.
与此同时,有关网络钓鱼诈骗分子利用谷歌漏洞窃取用户信息的报告凸显了加密货币用户面临的多重威胁。就在几天前,安全专家声称黑客正在使用 InfoStealers 恶意软件从浏览器中窃取用户dent。.
