Видання PANews повідомило 17 квітня, що, згідно з Bitcoin.com повідомленнями, Нік Джонсон, головний розробник ENS, виявив складну фішингову атаку, яка використовувала вразливості в системах Google, особливо нещодавно виправлену вразливість OAuth. За словами Джонсона, зловмисники спочатку надіслали шахрайський електронний лист, який, схоже, надійшов від юридичного відділу Google, неправдиво стверджуючи, що обліковий запис одержувача брав участь у розслідуванні повістки до суду. Ці електронні листи мають цифровий підпис справжнім DKIM і надсилаються з офіційного домену Google без відповіді, тому вони можуть легко обійти фільтрацію спаму Gmail. Джонсон зазначив, що довіру до афери значно підвищило sites.google.com гіперпосилання на фальшивий портал підтримки. Ця фальшива сторінка входу в Google виявляє дві основні вразливості безпеки: по-перше, платформа Google Sites дозволяє виконувати довільні сценарії, дозволяючи злочинцям створювати сторінки, які крадуть облікові дані; По-друге, сам протокол OAuth є недосконалим.
Джонсон засудив початковий погляд Google на вразливість як "як очікувалося за задумом" і підкреслив, що вразливість становить серйозну загрозу. Що ще гірше, підроблені портали використовують довірене доменне ім'я sites.google.com як прикриття, що значно знижує пильність користувачів. Крім того, механізм повідомлення про порушення в Google Сайтах не досконалий, що ускладнює своєчасне закриття нелегальних сторінок. Під тиском громадськості Google врешті-решт визнав, що проблема існує. Потім Джонсон підтвердив, що Google планує виправити недолік у протоколі OAuth. Експерти з безпеки нагадують користувачам бути пильними, з підозрою ставитися до будь-яких несподіваних юридичних документів і ретельно перевіряти справжність URL-адреси, перш ніж вводити свої облікові дані.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Провідний розробник ENS викриває вразливість, яка дозволяє фішерам імітувати офіційні сповіщення Google
Видання PANews повідомило 17 квітня, що, згідно з Bitcoin.com повідомленнями, Нік Джонсон, головний розробник ENS, виявив складну фішингову атаку, яка використовувала вразливості в системах Google, особливо нещодавно виправлену вразливість OAuth. За словами Джонсона, зловмисники спочатку надіслали шахрайський електронний лист, який, схоже, надійшов від юридичного відділу Google, неправдиво стверджуючи, що обліковий запис одержувача брав участь у розслідуванні повістки до суду. Ці електронні листи мають цифровий підпис справжнім DKIM і надсилаються з офіційного домену Google без відповіді, тому вони можуть легко обійти фільтрацію спаму Gmail. Джонсон зазначив, що довіру до афери значно підвищило sites.google.com гіперпосилання на фальшивий портал підтримки. Ця фальшива сторінка входу в Google виявляє дві основні вразливості безпеки: по-перше, платформа Google Sites дозволяє виконувати довільні сценарії, дозволяючи злочинцям створювати сторінки, які крадуть облікові дані; По-друге, сам протокол OAuth є недосконалим. Джонсон засудив початковий погляд Google на вразливість як "як очікувалося за задумом" і підкреслив, що вразливість становить серйозну загрозу. Що ще гірше, підроблені портали використовують довірене доменне ім'я sites.google.com як прикриття, що значно знижує пильність користувачів. Крім того, механізм повідомлення про порушення в Google Сайтах не досконалий, що ускладнює своєчасне закриття нелегальних сторінок. Під тиском громадськості Google врешті-решт визнав, що проблема існує. Потім Джонсон підтвердив, що Google планує виправити недолік у протоколі OAuth. Експерти з безпеки нагадують користувачам бути пильними, з підозрою ставитися до будь-яких несподіваних юридичних документів і ретельно перевіряти справжність URL-адреси, перш ніж вводити свої облікові дані.