PANews a rapporté le 17 avril que, selon Bitcoin.com rapports, Nick Johnson, le développeur en chef d’ENS, a révélé une attaque de phishing sophistiquée qui exploitait les vulnérabilités des systèmes de Google, en particulier la vulnérabilité OAuth récemment corrigée. Selon Johnson, les attaquants ont d’abord envoyé un e-mail frauduleux qui semblait provenir du service juridique de Google, affirmant à tort que le compte du destinataire était impliqué dans une enquête d’assignation à comparaître. Ces e-mails sont signés numériquement avec de vrais DKIM et sont envoyés à partir du domaine officiel sans réponse de Google, de sorte qu’ils peuvent facilement contourner le filtrage anti-spam de Gmail. Johnson a noté que la crédibilité de l’escroquerie a été grandement renforcée par un hyperlien sites.google.com vers un faux portail d’assistance. Cette fausse page de connexion Google expose deux failles de sécurité majeures : premièrement, la plate-forme Google Sites permet l’exécution de scripts arbitraires, permettant aux criminels de créer des pages qui volent des informations d’identification ; La seconde est que le protocole OAuth lui-même est défectueux.
Johnson a condamné le point de vue initial de Google sur la vulnérabilité comme « comme prévu par conception » et a souligné que la vulnérabilité constituait une menace sérieuse. Pour aggraver les choses, les faux portails utilisent le nom de domaine de confiance de sites.google.com comme couverture, ce qui réduit considérablement la vigilance des utilisateurs. De plus, le mécanisme de signalement des abus de Google Sites n’est pas parfait, ce qui rend difficile la fermeture rapide des pages illégales. Sous la pression du public, Google a fini par admettre qu’il y avait un problème. Johnson a ensuite confirmé que Google prévoyait de corriger une faille dans le protocole OAuth. Les experts en sécurité rappellent aux utilisateurs d’être vigilants, de se méfier de tout document juridique inattendu et de vérifier soigneusement l’authenticité de l’URL avant de saisir leurs informations d’identification.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le développeur principal d’ENS expose une vulnérabilité qui permet aux hameçonneurs d’imiter les alertes officielles de Google
PANews a rapporté le 17 avril que, selon Bitcoin.com rapports, Nick Johnson, le développeur en chef d’ENS, a révélé une attaque de phishing sophistiquée qui exploitait les vulnérabilités des systèmes de Google, en particulier la vulnérabilité OAuth récemment corrigée. Selon Johnson, les attaquants ont d’abord envoyé un e-mail frauduleux qui semblait provenir du service juridique de Google, affirmant à tort que le compte du destinataire était impliqué dans une enquête d’assignation à comparaître. Ces e-mails sont signés numériquement avec de vrais DKIM et sont envoyés à partir du domaine officiel sans réponse de Google, de sorte qu’ils peuvent facilement contourner le filtrage anti-spam de Gmail. Johnson a noté que la crédibilité de l’escroquerie a été grandement renforcée par un hyperlien sites.google.com vers un faux portail d’assistance. Cette fausse page de connexion Google expose deux failles de sécurité majeures : premièrement, la plate-forme Google Sites permet l’exécution de scripts arbitraires, permettant aux criminels de créer des pages qui volent des informations d’identification ; La seconde est que le protocole OAuth lui-même est défectueux. Johnson a condamné le point de vue initial de Google sur la vulnérabilité comme « comme prévu par conception » et a souligné que la vulnérabilité constituait une menace sérieuse. Pour aggraver les choses, les faux portails utilisent le nom de domaine de confiance de sites.google.com comme couverture, ce qui réduit considérablement la vigilance des utilisateurs. De plus, le mécanisme de signalement des abus de Google Sites n’est pas parfait, ce qui rend difficile la fermeture rapide des pages illégales. Sous la pression du public, Google a fini par admettre qu’il y avait un problème. Johnson a ensuite confirmé que Google prévoyait de corriger une faille dans le protocole OAuth. Les experts en sécurité rappellent aux utilisateurs d’être vigilants, de se méfier de tout document juridique inattendu et de vérifier soigneusement l’authenticité de l’URL avant de saisir leurs informations d’identification.