PANewsは4月17日、Bitcoin.com の報道によると、ENSのチーフ開発者であるNick Johnson氏が、Googleのシステムの脆弱性、特に最近修正されたOAuthの脆弱性を悪用した高度なフィッシング攻撃を明らかにしたと報じました。 Johnson氏によると、攻撃者はまず、Googleの法務部門を装った詐欺メールを送信し、受信者のアカウントが召喚状の調査に関与していると偽っていました。 これらのメールは実際のDKIMでデジタル署名されており、Googleの公式のno-replyドメインから送信されるため、Gmailのスパムフィルタリングを簡単に回避できます。 Johnson氏は、偽のサポートポータルへの sites.google.com ハイパーリンクによって、詐欺の信憑性が大幅に高まったと指摘しています。 この偽のGoogleログインページは、2つの主要なセキュリティ脆弱性を露呈します:まず、Googleサイトプラットフォームでは任意のスクリプトが実行され、犯罪者が認証情報を盗むページを作成できます。 2つ目は、OAuthプロトコル自体に欠陥があることです。Johnson氏は、Googleが当初この脆弱性を「設計上予想通り」と捉えていたことを非難し、この脆弱性が深刻な脅威をもたらすことを強調した。 さらに悪いことに、偽のポータルは sites.google.com の信頼できるドメイン名を隠れ蓑として使用し、ユーザーの警戒を大幅に減らします。 また、Google サイトの不正使用の報告メカニズムは完璧ではないため、違法なページをタイムリーに閉じることは困難です。 世論の圧力により、Googleは最終的に問題があることを認めました。 Johnson氏はその後、GoogleがOAuthプロトコルの欠陥を修正する予定であることを認めた。 セキュリティの専門家は、警戒を怠らず、予期しない法的文書を疑い、資格情報を入力する前にURLの信頼性を慎重に確認するようユーザーに注意喚起しています。
ENSの主任開発者は、フィッシング詐欺師がGoogleの公式アラートを模倣できる脆弱性を公開しました
PANewsは4月17日、Bitcoin.com の報道によると、ENSのチーフ開発者であるNick Johnson氏が、Googleのシステムの脆弱性、特に最近修正されたOAuthの脆弱性を悪用した高度なフィッシング攻撃を明らかにしたと報じました。 Johnson氏によると、攻撃者はまず、Googleの法務部門を装った詐欺メールを送信し、受信者のアカウントが召喚状の調査に関与していると偽っていました。 これらのメールは実際のDKIMでデジタル署名されており、Googleの公式のno-replyドメインから送信されるため、Gmailのスパムフィルタリングを簡単に回避できます。 Johnson氏は、偽のサポートポータルへの sites.google.com ハイパーリンクによって、詐欺の信憑性が大幅に高まったと指摘しています。 この偽のGoogleログインページは、2つの主要なセキュリティ脆弱性を露呈します:まず、Googleサイトプラットフォームでは任意のスクリプトが実行され、犯罪者が認証情報を盗むページを作成できます。 2つ目は、OAuthプロトコル自体に欠陥があることです。 Johnson氏は、Googleが当初この脆弱性を「設計上予想通り」と捉えていたことを非難し、この脆弱性が深刻な脅威をもたらすことを強調した。 さらに悪いことに、偽のポータルは sites.google.com の信頼できるドメイン名を隠れ蓑として使用し、ユーザーの警戒を大幅に減らします。 また、Google サイトの不正使用の報告メカニズムは完璧ではないため、違法なページをタイムリーに閉じることは困難です。 世論の圧力により、Googleは最終的に問題があることを認めました。 Johnson氏はその後、GoogleがOAuthプロトコルの欠陥を修正する予定であることを認めた。 セキュリティの専門家は、警戒を怠らず、予期しない法的文書を疑い、資格情報を入力する前にURLの信頼性を慎重に確認するようユーザーに注意喚起しています。