Nhà phát triển chính của ENS phơi bày một lỗ hổng cho phép những kẻ lừa đảo bắt chước các cảnh báo chính thức của Google

PANews đưa tin vào ngày 17/4 rằng theo báo cáo Bitcoin.com, Nick Johnson, nhà phát triển chính của ENS, đã tiết lộ một cuộc tấn công lừa đảo tinh vi khai thác lỗ hổng trong hệ thống của Google, đặc biệt là lỗ hổng OAuth được sửa gần đây. Theo Johnson, những kẻ tấn công đầu tiên đã gửi một email lừa đảo dường như từ bộ phận pháp lý của Google, tuyên bố sai rằng tài khoản của người nhận có liên quan đến một cuộc điều tra trát đòi hầu tòa. Những email này được ký điện tử bằng DKIM thực và được gửi từ miền không trả lời chính thức của Google, vì vậy chúng có thể dễ dàng vượt qua bộ lọc thư rác của Gmail. Johnson lưu ý rằng độ tin cậy của trò lừa đảo đã được tăng cường đáng kể bởi một siêu liên kết sites.google.com đến một cổng hỗ trợ giả mạo. Trang đăng nhập Google giả mạo này phơi bày hai lỗ hổng bảo mật lớn: thứ nhất, nền tảng Google Sites cho phép thực thi các tập lệnh tùy ý, cho phép bọn tội phạm tạo các trang đánh cắp thông tin đăng nhập; Thứ hai là bản thân giao thức OAuth có thiếu sót. Johnson lên án quan điểm ban đầu của Google về lỗ hổng là "như mong đợi của thiết kế" và nhấn mạnh rằng lỗ hổng này đặt ra một mối đe dọa nghiêm trọng. Để làm cho vấn đề tồi tệ hơn, các cổng thông tin giả mạo sử dụng tên miền đáng tin cậy của sites.google.com làm vỏ bọc, làm giảm đáng kể sự cảnh giác của người dùng. Ngoài ra, cơ chế báo cáo lạm dụng của Google Sites không hoàn hảo, điều này gây khó khăn cho các trang bất hợp pháp bị đóng kịp thời. Dưới áp lực của công chúng, Google cuối cùng đã thừa nhận rằng có một vấn đề. Johnson sau đó xác nhận rằng Google có kế hoạch sửa một lỗ hổng trong giao thức OAuth. Các chuyên gia bảo mật nhắc nhở người dùng cảnh giác, nghi ngờ bất kỳ tài liệu pháp lý bất ngờ nào và xác minh cẩn thận tính xác thực của URL trước khi nhập thông tin đăng nhập của họ.