在一次相當(dāng)巧妙的攻擊中，黑客利用了一個漏洞，得以發(fā)送一封看似來自谷歌系統(tǒng)的虛假電子郵件，通過了所有驗證，但指向了一個用于收集登錄信息的欺詐頁面。

　　攻擊者利用谷歌的基礎(chǔ)設(shè)施誘騙收件人訪問一個看似合法的“支持門戶”，該門戶要求提供谷歌賬戶憑證。

　　這條欺詐信息看似來自“no-”，并且通過了域名密鑰識別郵件（DKIM）驗證方法，但實際發(fā)件人卻并非如此。

　　以太坊域名服務(wù)（ENS）的首席開發(fā)者尼克·約翰遜收到了一封看似來自谷歌的安全警報，稱執(zhí)法部門已向谷歌發(fā)出傳票，要求獲取他的谷歌賬戶內(nèi)容。

　　谷歌甚至將其與其他合法的安全提醒放在一起，以至于幾乎所有東西看起來都合情合理，這很可能會欺騙那些不太懂技術(shù)、不知道從何處尋找欺詐跡象的用戶。

　　然而，約翰遜敏銳發(fā)現(xiàn)，電子郵件中的虛假支持門戶網(wǎng)站托管在—谷歌的免費網(wǎng)站建設(shè)平臺上，這引起了人們的懷疑。

　　在谷歌域名上，收件人意識到他們被瞄準(zhǔn)的機會更低。約翰遜說，這個虛假的支持門戶網(wǎng)站“和真實的完全一樣”，唯一的跡象是它托管在上，而不是accounts.google.com上。

　　九游體育官方網(wǎng)站 九游體育登錄入口

　　假門戶在騙局中很容易解釋，但聰明的部分是傳遞一條似乎已經(jīng)通過谷歌的DKIM驗證的消息，即所謂的DKIM重放網(wǎng)絡(luò)釣魚攻擊。

　　仔細(xì)觀察電子郵件的詳細(xì)信息就會發(fā)現(xiàn)，mailed-by頭顯示的地址與谷歌的no-reply不同，收件人是一個me@地址，位于一個看起來像是由谷歌管理的域。然而，這條消息是由谷歌簽署和傳遞的。

　　約翰遜將線索拼湊起來，識破了騙子的伎倆。首先，他們會注冊一個域名，并為“me@域名”創(chuàng)建一個谷歌賬號。域名不是特別重要，但看起來像某種基礎(chǔ)設(shè)施會有所幫助。選擇“me”作為用戶名很聰明，這位開發(fā)者解釋道。

　　隨后，攻擊者創(chuàng)建了一個谷歌 OAuth 應(yīng)用程序，并將其名稱設(shè)為整個釣魚信息。在某個時候，該信息包含大量空白，以使其看起來已經(jīng)結(jié)束，并與谷歌關(guān)于攻擊者 電子郵件地址的訪問權(quán)限通知區(qū)分開來。

　　當(dāng)攻擊者授權(quán)他們的OAuth應(yīng)用程序訪問谷歌工作區(qū)中的電子郵件地址時，谷歌會自動向該收件箱發(fā)送安全警報。

　　由于谷歌生成了這封電子郵件，它用一個有效的DKIM密鑰簽名，并通過了所有的檢查。最后一步是將安全警報轉(zhuǎn)發(fā)給受害者。

　　谷歌系統(tǒng)的弱點是DKIM只檢查消息和頭，而不檢查信封。因此，假電子郵件通過了簽名驗證，并在收件人的收件箱中看起來是合法的。

　　此外，通過將欺詐地址命名為me@， Gmail將顯示消息，就好像它是發(fā)送到受害者的電子郵件地址一樣。

　　電子郵件認(rèn)證公司EasyDMARC也詳細(xì)介紹了約翰遜描述的DKIM重放式網(wǎng)絡(luò)釣魚攻擊，并對每一步進(jìn)行了技術(shù)解釋。

　　九游體育官方網(wǎng)站 九游體育登錄入口

　　谷歌以外的其他平臺也嘗試過類似的技巧。今年3月，一場針對PayPal用戶的攻擊活動采用了同樣的方法，即欺詐性信息來自這家金融公司的郵件服務(wù)器，并通過了DKIM的安全檢查。

　　測試顯示，攻擊者使用“禮物地址”選項將新電子郵件鏈接到他們的PayPal賬戶。

　　添加新地址時有兩個字段，攻擊者用電子郵件填充其中一個字段，并將網(wǎng)絡(luò)釣魚信息粘貼到第二個字段中。

　　PayPal會自動向攻擊者的地址發(fā)送確認(rèn)信息，該地址會將其轉(zhuǎn)發(fā)到一個郵件列表，該郵件列表會將其轉(zhuǎn)發(fā)給群組中所有潛在的受害者。

　　事后有媒體就此事聯(lián)系了PayPal，但從未收到回復(fù)。Johnson還向谷歌提交了一份bug報告，而谷歌最初的回復(fù)是“這個過程是按計劃進(jìn)行的”。但不久后，谷歌認(rèn)識到它對用戶來說存在一定風(fēng)險，目前正在努力修復(fù)OAuth的弱點。