17 апреля издание PANews сообщило, что, согласно Bitcoin.com отчетам, главный разработчик ENS Ник Джонсон (Nick Johnson) раскрыл изощренную фишинговую атаку, которая использовала уязвимости в системах Google, в частности, недавно исправленную уязвимость OAuth. По словам Джонсона, сначала злоумышленники отправили мошенническое электронное письмо, которое, по-видимому, было отправлено юридическим отделом Google, ложно утверждая, что учетная запись получателя была вовлечена в расследование повестки в суд. Эти электронные письма имеют цифровую подпись с настоящим DKIM и отправляются с официального домена Google без ответа, поэтому они могут легко обойти спам-фильтрацию Gmail. Джонсон отметил, что доверие к мошенничеству было значительно повышено sites.google.com гиперссылкой на поддельный портал поддержки. Эта поддельная страница входа в Google раскрывает две основные уязвимости безопасности: во-первых, платформа Google Sites позволяет выполнять произвольные сценарии, позволяя преступникам создавать страницы, которые крадут учетные данные; Во-вторых, протокол OAuth сам по себе несовершенен.
Джонсон осудил первоначальное мнение Google об уязвимости как «ожидаемое по замыслу» и подчеркнул, что уязвимость представляет серьезную угрозу. Что еще хуже, поддельные порталы используют доверенное доменное имя sites.google.com в качестве прикрытия, что значительно снижает бдительность пользователей. Кроме того, механизм сообщения о нарушениях в Google Sites не идеален, что затрудняет своевременное закрытие нелегальных страниц. Под давлением общественности Google в конце концов признала, что проблема существует. Затем Джонсон подтвердил, что Google планирует исправить ошибку в протоколе OAuth. Эксперты по безопасности напоминают пользователям о необходимости проявлять бдительность, с подозрением относиться к любым неожиданным юридическим документам и тщательно проверять подлинность URL-адреса перед вводом учетных данных.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Ведущий разработчик ENS раскрывает уязвимость, которая позволяет фишерам имитировать официальные оповещения Google
17 апреля издание PANews сообщило, что, согласно Bitcoin.com отчетам, главный разработчик ENS Ник Джонсон (Nick Johnson) раскрыл изощренную фишинговую атаку, которая использовала уязвимости в системах Google, в частности, недавно исправленную уязвимость OAuth. По словам Джонсона, сначала злоумышленники отправили мошенническое электронное письмо, которое, по-видимому, было отправлено юридическим отделом Google, ложно утверждая, что учетная запись получателя была вовлечена в расследование повестки в суд. Эти электронные письма имеют цифровую подпись с настоящим DKIM и отправляются с официального домена Google без ответа, поэтому они могут легко обойти спам-фильтрацию Gmail. Джонсон отметил, что доверие к мошенничеству было значительно повышено sites.google.com гиперссылкой на поддельный портал поддержки. Эта поддельная страница входа в Google раскрывает две основные уязвимости безопасности: во-первых, платформа Google Sites позволяет выполнять произвольные сценарии, позволяя преступникам создавать страницы, которые крадут учетные данные; Во-вторых, протокол OAuth сам по себе несовершенен. Джонсон осудил первоначальное мнение Google об уязвимости как «ожидаемое по замыслу» и подчеркнул, что уязвимость представляет серьезную угрозу. Что еще хуже, поддельные порталы используют доверенное доменное имя sites.google.com в качестве прикрытия, что значительно снижает бдительность пользователей. Кроме того, механизм сообщения о нарушениях в Google Sites не идеален, что затрудняет своевременное закрытие нелегальных страниц. Под давлением общественности Google в конце концов признала, что проблема существует. Затем Джонсон подтвердил, что Google планирует исправить ошибку в протоколе OAuth. Эксперты по безопасности напоминают пользователям о необходимости проявлять бдительность, с подозрением относиться к любым неожиданным юридическим документам и тщательно проверять подлинность URL-адреса перед вводом учетных данных.