Nick Johnson, priznani inženir Ethereum Name Service (ENS), je razkril pretkano kampanjo lažnega predstavljanja, ki je ciljala na šibke točke znotraj hrbtenice Googla, zlasti na nedavno zaplato OAuth ranljivost.
ENS vodilni razvijalec razkrije pomanjkljivost, ki omogoča ribarjem posnemanje uradnih opozoril Google
NAPISAL
DELI
Googlejeva obramba spuščena: ENS inženir sledi izkoriščanju lažno predstavitev
Po Johnsonovem pričevanju se je shema začela s prepričljivim e-poštnim sporočilom, ki naj bi bilo poslano s strani uradnega Googlovega obvestila, opozarjajoč tarče na poziv k predložitvi podatkov o računu. Podpisano z veljavnim DKIM ključem in izhajajoče iz uradne Googlove domene brez odgovora, je obvestilo prestalo Gmailove filtre in se uvrstilo med legitimna obvestila.
Johnson je opazil, da je verodostojnost še dodatno okrepila povezava na sites.google.com, ki je vodila do lažnega portala za podporo, ki je posnemal Googlov prijavni obrazec. Razvijalec je opozoril, da se prevara zanaša na dve pomanjkljivosti: toleranco Googlovih Strani do arbitrarnosti skriptov, kar je kriminalcem omogočilo ustvarjanje strani za pridobivanje poverilnic, in šibkost OAuth.
Napadalci so registrirali novo domeno, odprli Googlov račun in ustvarili OAuth aplikacijo, katere ime je podvajalo naslov phishing e-pošte. Ko je žrtev podelila dostop, je Google samodejno ustvaril e-pismo varnostnega obvestila—popolnoma podpisano in legitimno—ki so ga napadalci nato posredovali svoji tarči.
Johnson je kritiziral Google ker je najprej ocenil napako kot “funkcionira kot načrtovano,” ter trdil, da odprtina predstavlja resno nevarnost. Lažni portal, ki se zanese na sites.google.com, je dodatno zavajal uporabnike, saj je zaupanja vredna domena zakrivala zlonamerno namero. Slabosti Googlovega poročanja o zlorabah na Straneh so še poglobile težave in upočasnile prizadevanja za odstranitev.
Po naraščajočem javnem pritisku je Google spremenil smer in priznal problem. Johnson je kasneje potrdil, da načrtuje podjetje popraviti OAuth napako. Dogodek osvetljuje vse večjo prefinjenost lažnega predstavljanja, ki izkorišča spoštovane platforme za zdrs mimo obramb.
Strokovnjaki za varnost pozivajo k budnosti in opozarjajo uporabnike, naj dvomijo v nepričakovano pravno korespondenco ter dvakrat preverijo URL-naslove, preden vnesejo poverilnice. Google še ni izdal javne izjave o napaki ali načrtu popravila. Primer razkriva širši boj proti phishingu, saj nasprotniki vse pogosteje uporabljajo ugledne storitve kot orožje.
