ENS Lead Developer Onthult Fout Die Phishers Toelaat Officiële Google-waarschuwingen Na te Bootsenn

Google’s Waakzaamheid Verslapt: ENS Ingenieur Traceert Phishing Exploit

Volgens het getuigenis van Johnson, begon de opzet met een overtuigende e-mail, ogenschijnlijk verzonden door een officiële Google-waarschuwing, die doelen waarschuwde voor een dagvaarding die hun accountgegevens eiste. Ondertekend met een echte DKIM-sleutel en afkomstig van Google’s officiële no-reply domein, glipte de melding voorbij de filters van Gmail en nestelde zich tussen legitieme waarschuwingen.

Johnson merkte op dat de geloofwaardigheid verder werd verhoogd door een sites.google.com hyperlink die leidde naar een vervalst ondersteuningsportaal dat de inlogpagina van Google nabootste. De ontwikkelaar merkte op dat de truc leunde op twee scheuren: de tolerantie van Google Sites voor willekeurige scripts, wat criminelen in staat stelde inloggegevensverzamelende pagina’s te maken, en de OAuth-zwakte.

Aanvallers registreerden een nieuw domein, openden een Google-account en bouwden een OAuth-applicatie waarvan de naam de titel van de phishing e-mail nabootste. Zodra een slachtoffer toegang verleende, genereerde Google automatisch een beveiligingswaarschuwingse-mail—volledig ondertekend en legitiem—die de aanvallers vervolgens naar hun doelwit stuurden.

Johnson bekritiseerde Google omdat ze de bug aanvankelijk afwezen als “werkend zoals bedoeld”, stellend dat de maas ernstige gevaren opleverde. De afhankelijkheid van het nepportaal van sites.google.com misleidde gebruikers verder omdat het vertrouwde domein vijandige bedoelingen verhulde. Zwaktes in Google’s misbruikrapportage voor Sites verergerden het probleem, waardoor de inspanningen voor afbreken werden vertraagd.

Nadat de publieke druk toenam, draaide Google en erkende het probleem. Johnson bevestigde later dat het technologiebedrijf van plan is de OAuth-defect te verhelpen. Het voorval werpt licht op de groeiende verfijning van phishing, die gebruikmaakt van gerenommeerde platformen om langs verdedigingen te glippen.

Beveiligingsspecialisten benadrukken waakzaamheid en dringen er bij gebruikers op aan om onverwachte juridische correspondentie te betwijfelen en URL’s dubbel te controleren voordat ze inloggegevens invoeren. Google heeft nog geen publieke verklaring afgegeven over de kwetsbaarheid of het reparatieschema. De zaak onthult de bredere strijd tegen phishing aangezien tegenstanders steeds meer gerenommeerde diensten bewapenen.