HackerNews 编译,转载请注明出处:
攻击者利用谷歌基础设施的漏洞发送伪造邮件,这些邮件通过全部验证但指向收集登录凭证的欺诈页面。
欺诈邮件看似来自”no-reply@google.com”并通过了域名密钥识别邮件(DKIM)认证,但实际发件地址不同。
以太坊域名服务(ENS)首席开发者Nick Johnson收到一封伪装成谷歌安全警报的邮件,声称因执法机构传票要求获取其谷歌账户内容。
该邮件几乎完全仿冒真实警报,甚至被归类至合法安全通知会话中,极易误导非技术用户。然而Johnson发现邮件中的“支持门户”托管在谷歌免费建站平台sites.google.com上,由此产生怀疑。
此次攻击的巧妙之处在于通过DKIM重放攻击使伪造邮件通过验证。邮件详情显示,“mailed-by”标头地址并非谷歌官方地址,收件人地址为攻击者伪造的类谷歌域名邮箱。但邮件仍由谷歌签名发送。
Johnson还原了攻击链条:
1、注册仿冒域名并创建“me@domain”谷歌账户
2、创建Google OAuth应用并将钓鱼信息写入应用名称字段
3、通过大量空白字符分隔合法通知与欺诈内容
4、授权OAuth应用访问邮箱时触发谷歌系统生成含有效DKIM签名的警报邮件
5、将警报邮件转发至受害者邮箱
邮件认证公司EasyDMARC的技术分析证实,由于DKIM仅验证邮件内容及标头而非信封,此类伪造邮件可绕过检测。
攻击者还利用“me@”前缀使Gmail显示邮件直接发送至受害者地址。类似手法已在PayPal平台重现。
3月的攻击中,欺诈者通过PayPal“礼品地址”功能绑定新邮箱,在地址字段插入钓鱼信息。PayPal系统自动发送的确认邮件经攻击者转发至受害者列表。BleepingComputer 就此问题联系了 PayPal,但一直未收到回复。
Johnson 还向 Google 提交了一份错误报告,该公司最初的回复是该流程运行正常。然而,Google 后来重新考虑了这个问题,认为它对用户构成了风险,目前正在努力修复 OAuth 漏洞。
目前已有至少6款信息窃取恶意软件滥用该机制,包括Lumma、Rhadamanthys等家族,可恢复过期谷歌认证Cookie实现持久访问。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
