ENS首席开发者揭露允许网络钓鱼者模仿谷歌官方警报的漏洞

4月17日消息，据Bitcoin报道，ENS首席开发者Nick Johnson揭露了一起精妙的网络钓鱼攻击，该攻击利用了谷歌系统中的漏洞，尤其是近期已修复的OAuth漏洞。据Johnson描述，攻击者先发送看似来自谷歌法律部门的欺诈邮件，谎称收件人的账户涉及传票调查。这些邮件带有真实的DKIM数字签名，且发自谷歌官方的no-reply域名，因此能轻易绕过Gmail的垃圾邮件过滤。Johnson指出，该骗局的可信度因一个链接至伪造支持门户的sites.google超链接而大增。这个伪造的谷歌登录页面暴露了两大安全漏洞：一是Google Sites平台允许执行任意脚本，使犯罪分子能够创建窃取凭证的页面；二是OAuth协议本身存在缺陷。
Johnson谴责谷歌最初将此漏洞视为“符合设计预期”，并强调该漏洞构成严重威胁。更糟糕的是，伪造门户利用sites.google这一可信域名作为掩护，极大地降低了用户的警惕性。此外，Google Sites的滥用举报机制不完善，导致非法页面难以及时被关闭。在公众压力下，谷歌最终承认存在问题。Johnson随后确认，谷歌计划修复OAuth协议的缺陷。安全专家提醒用户保持警惕，对任何意外的法律文书都要持怀疑态度，并在输入凭证前仔细核实网址的真实性。