O PANews informou em 17 de abril que, de acordo com relatórios da Bitcoin.com, Nick Johnson, o desenvolvedor-chefe do ENS, revelou um sofisticado ataque de phishing que explorou vulnerabilidades nos sistemas do Google, especialmente a vulnerabilidade OAuth recentemente corrigida. De acordo com Johnson, os atacantes primeiro enviaram um e-mail fraudulento que parecia ser do departamento jurídico do Google, alegando falsamente que a conta do destinatário estava envolvida em uma investigação de intimação. Esses e-mails são assinados digitalmente com DKIM real e são enviados do domínio oficial sem resposta do Google, para que possam facilmente ignorar a filtragem de spam do Gmail. Johnson observou que a credibilidade do golpe foi muito reforçada por um hiperlink sites.google.com para um portal de suporte falso. Esta página de login falsa do Google expõe duas grandes vulnerabilidades de segurança: primeiro, a plataforma Google Sites permite que scripts arbitrários sejam executados, permitindo que criminosos criem páginas que roubam credenciais; A segunda é que o próprio protocolo OAuth é falho.
Johnson condenou a visão inicial do Google sobre a vulnerabilidade como "como esperado pelo design" e enfatizou que a vulnerabilidade representava uma séria ameaça. Para piorar a situação, portais falsos usam o nome de domínio confiável de sites.google.com como cobertura, reduzindo muito a vigilância dos usuários. Além disso, o mecanismo de denúncia de abusos do Google Sites não é perfeito, o que dificulta o encerramento atempado de páginas ilegais. Sob pressão pública, a Google acabou por admitir que havia um problema. Johnson então confirmou que o Google planeja corrigir uma falha no protocolo OAuth. Os especialistas em segurança lembram aos utilizadores para estarem atentos, desconfiarem de quaisquer documentos legais inesperados e verificarem cuidadosamente a autenticidade do URL antes de introduzirem as suas credenciais.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
O principal desenvolvedor do ENS expõe uma vulnerabilidade que permite que os phishers imitem os alertas oficiais do Google
O PANews informou em 17 de abril que, de acordo com relatórios da Bitcoin.com, Nick Johnson, o desenvolvedor-chefe do ENS, revelou um sofisticado ataque de phishing que explorou vulnerabilidades nos sistemas do Google, especialmente a vulnerabilidade OAuth recentemente corrigida. De acordo com Johnson, os atacantes primeiro enviaram um e-mail fraudulento que parecia ser do departamento jurídico do Google, alegando falsamente que a conta do destinatário estava envolvida em uma investigação de intimação. Esses e-mails são assinados digitalmente com DKIM real e são enviados do domínio oficial sem resposta do Google, para que possam facilmente ignorar a filtragem de spam do Gmail. Johnson observou que a credibilidade do golpe foi muito reforçada por um hiperlink sites.google.com para um portal de suporte falso. Esta página de login falsa do Google expõe duas grandes vulnerabilidades de segurança: primeiro, a plataforma Google Sites permite que scripts arbitrários sejam executados, permitindo que criminosos criem páginas que roubam credenciais; A segunda é que o próprio protocolo OAuth é falho. Johnson condenou a visão inicial do Google sobre a vulnerabilidade como "como esperado pelo design" e enfatizou que a vulnerabilidade representava uma séria ameaça. Para piorar a situação, portais falsos usam o nome de domínio confiável de sites.google.com como cobertura, reduzindo muito a vigilância dos usuários. Além disso, o mecanismo de denúncia de abusos do Google Sites não é perfeito, o que dificulta o encerramento atempado de páginas ilegais. Sob pressão pública, a Google acabou por admitir que havia um problema. Johnson então confirmou que o Google planeja corrigir uma falha no protocolo OAuth. Os especialistas em segurança lembram aos utilizadores para estarem atentos, desconfiarem de quaisquer documentos legais inesperados e verificarem cuidadosamente a autenticidade do URL antes de introduzirem as suas credenciais.