ENS首席开发者揭示漏洞，允许网络钓鱼者模仿官方Google警报

Google漏洞：ENS工程师追踪网络钓鱼攻击

根据Johnson的证词，该计划以一封具有说服力的邮件开始，似乎由官方Google提醒发出，通知目标涉及传票要求他们的账户数据。邮件使用了真实的DKIM密钥并来自Google的官方no-reply域名，因此能够通过Gmail的过滤器并被视为合法通知。

Johnson注意到，其可信度进一步提升是因为有一个sites.google.com的超链接，指向一个伪造的支持门户，与Google的登录页面相仿。开发人员指出，该骗局依靠了两个漏洞：Google Sites允许任意脚本，这使得犯罪分子可以制作收集凭证的页面，以及OAuth漏洞。

攻击者注册了一个新域名，开设了Google账户，并建立了一个OAuth应用，其名称与钓鱼邮件的标题相同。一旦受害者给予访问权限，Google会自动生成一封完全签名且合法的安全警报邮件，攻击者随后将其转发给目标。

Johnson批评Google最初将该漏洞视为“按预期工作”，认为这个漏洞带来了严重的危险。由于欺诈门户依托于sites.google.com，进一步误导用户，因为被信任的域名掩盖了敌意意图。Google对Sites的滥用报告机制的漏洞加深了问题，减缓了删除工作。

在公众压力增加后，Google做出改变并承认了问题。Johnson后来证实这家科技公司计划修复OAuth缺陷。此事件揭示了网络钓鱼日益精进，利用知名平台突破防线。

安全专家呼吁保持警惕，敦促用户质疑意外的法律函件，并在输入凭证前仔细检查网址。Google尚未就漏洞或其修复计划发布公开声明。此案例揭示了与网络钓鱼斗争的更广泛挑战，因为对手日益利用知名服务进行攻击。