ENS Lead Developer afslører fejl, der gør det muligt for phishere at efterligne officielle Google-advarsler

Google’s Beskyttelse Nede: ENS Ingeniør Opdager Phishing Udnyttelse

Ifølge Johnsons vidnesbyrd startede planen med en overbevisende e-mail, tilsyneladende sendt af en officiel Google-meddelelse, som advarede målene om en stævning, der krævede deres kontodata. Underskrevet med en ægte DKIM-nøgle og udsendt fra Googles officielle no-reply-domæne, gik meddelelsen fint forbi Gmails filtre og gemte sig blandt legitime advarsler.

Johnson bemærkede, at dens troværdighed yderligere blev forstærket af et sites.google.com hyperlink, der førte til en falsk supportportal, der efterlignede Googles log-in side. Udvikleren påpegede, at bedrageriet lænede sig op ad to revner: Google Sites’ tolererede vilkårlige scripts, som tillod kriminelle at skabe sider til at indsamle legitimationsoplysninger, og OAuth svagheden.

Angriberne registrerede et nyt domæne, åbnede en Google-konto, og byggede en OAuth-applikation, hvis navn duplikerede phishing-e-mailens titel. Når en offer gav adgang, genererede Google automatisk en sikkerhedsadvarsels-email—fuldt underskrevet og legitim—som angriberne derefter sendte videre til deres mål.

Johnson kritiserede Google for først at afvise fejlen som “fungerer som tiltænkt,” idet han mente at smuthullet udgjorde en alvorlig fare. Den falske portals afhængighed af sites.google.com vildledte yderligere brugere, fordi det betroede domæne skjulte fjendtlig hensigt. Svagheder i Googles misbrugsrapportering for Sites forværrede problemet, da det forsinkede fjernelsesindsats.

Efter at offentlig pres voksede, vendte Google sig og erkendte problemet. Johnson bekræftede senere at teknologifirmaet planlægger at afhjælpe OAuth-fejlen. Episoden belyser phishings voksende finesse, der udnytter respekterede platforme til at glide forbi forsvar.

Sikkerhedsspecialister beder om årvågenhed, og opfordrer brugere til at stille spørgsmål til uventet juridisk korrespondance og dobbelttjekke URL’er før de indtaster legitimationsoplysninger. Google har endnu ikke udsendt en offentlig erklæring om svagheden eller dens reparationsplan. Sagen afslører den bredere kamp mod phishing da modstandere i stigende grad anvender velrenommerede tjenester som våben.