Google漏洞可伪造域名邮箱钓鱼

近日Google Apps for Work曝出一个漏洞,攻击者可以利用该漏洞伪造任意网站的域名邮箱,冒充公司雇员给受害人发送钓鱼邮件。

Google Apps for Work

Google的域名邮箱服务

如果你想弄一个类似admin@ooxx.com的DIY邮箱来代替Gmail,那么你就可以试试在Google Apps for Work注册个账户。

从Google服务中获取一个自定义的域名电子邮箱,只需要注册一个gmail账户。一旦创建账户以后,你可以通过Google应用提供的相应接口,直接操作你的域名管理面板。当然,只有你从在Google那里取得域名认证后,才能正常使用域名邮箱服务。

伪造域名邮箱钓鱼

安全研究人员Patrik fehrenbach和Behrouz sadeghipour发现,攻击者可以通过Google任意注册一个域名邮箱,只要它没有在Google应用服务中使用过。

正常情况下,在你域名认证完成之前,Google不会让你正常使用admin@ooxx.com之类的DIY邮箱。但Google应用的某个页面存在一个漏洞:Google上注册的域名管理者无论是否进行了域名认证,都可以发送一个“登录指令”(Sign in Instructions)给域名邮箱成员,比如info@ooxx.com。

先决条件就是该域名邮箱用户必须是在此之前注册的,构造的url请求如下:

https://admin.google.com/EmailLoginInstructions?userEmail=info@laod.cn

利用该特定的email接口,攻击者可以伪造域名邮箱,发送任意包含恶意链接的钓鱼邮件给受害目标,然后骗取他们的私密信息诸如密码、商业信息等等。

如下图所示,攻击者成功冒充admin@vine.com(现已被Twitter收购)发送钓鱼邮件给受害人,骗取他们点进钓鱼网站,提交Twitter的账户信息。

vine.com

 

我们认为,Google应该自动帮助用户识别垃圾邮件,或者是警示从伪造的合法来源(如Google官方或者银行)发来的钓鱼信息,但是他们没有做到这些。
黑客通过利用这个漏洞可以就地取材,直接利用Google的服务器,给受害人发送没有任何警示信息的钓鱼邮件。

原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/415.html

(0)
上一篇 2015-03-04
下一篇 2015-03-13

相关推荐

  • 移动用户 可直接(裸连)访问谷歌

    最近有几个童鞋说移动网络用户可以直接(裸连)访问谷歌,包括移动宽带、移动4G网络。 发现 Google Play 在自动更新,手机开 4G 时也是一直可以收到 TG 和 Twitt…

    2017-09-01
    48.7K390
  • 过个年,你得准备多少钱?

    一、压岁钱 温饱版:自身收入不高,但是每个孩子100-300估计也得要个1000以上.小康版:年前赚了不少钱,颇有点暴富的潜质,每个孩子300-500,每年压岁钱怎么也得备2000…

    心情琐事 2015-02-26
    2.0K00
  • 关于调整Google hosts等其他hosts分享策略

    最近发现有个别时间流量异常,然后我查看了下,发现有人抓取我博客上的文件。 下次再更新,我将删除本地所有txt文件,所有hosts分别网盘分享,以后你将无法直接在我网站上在线点击查看…

    2015-09-13
    6.3K681
  • 关于QQ群解散的说明

    昨晚本着方便交流建了一个QQ群,但是我发现这样并不好。 原因有: 各种刷屏、各种“福利 1024”、各种喷各种政治话题等等…. 严重影响大家学习、工作。 我根本没时间精…

    2015-10-19
    3.4K170
  • 老D博客换域名啦

    前段时间laod.cn被墙之后就租下某个大陆地区服务器作为临时阵地,成功绕过GFW,速度很快(这不是废话么)考虑到laod.cn出口网络已被加入黑名单。再者就是目前cn域名所用的服…

    2016-07-23
    6.7K360
  • 对某知名压缩软件说:呵呵

    原文已删除! 可查看火绒安全发布的分享报告:http://www.huorong.cn/info/1531309921141.html 如果开发人员感染病毒导致产品被污染可以理解,…

    2018-07-12
    24.5K880
  • 改变,是为了未来更好!

    月底即将升级博客的稳定性,需要更快的速度,更大的带宽流量支持….最近发现多说加载好慢。在博客贴出捐赠的连接,这两天也收到了一些小伙伴的捐赠,在此多谢了! 其实我很早之前…

    2015-06-16
    1.8K180
  • 老D博客十周年了

    光阴如水,岁月如莲;时间过的真快,不知不觉老D博客已经走过了10个年头。 真正意义上是从2010年申请的第一个域名开始… 很久没有更新博客了,借这个特殊的日子回想一下这…

    2020-05-14
    17.8K40
  • 垃圾迅雷:win10桌面图标消失 桌面变黑 C盘所有用户文件不见了

    事情是这样的,昨晚我再帮一朋友找一个视频种子,我的习惯就是必须保证给的是种子是好的(视频是高清的)。然后我就用迅雷极速版下载,这时候迅雷弹出一个什么:迅雷提示:浏览器不兼容还是什么…

    2016-12-28
    15.6K790
  • Google AdSense 光大收汇提示“本笔业务请携带相关材料至柜台办理”问题总汇

    老D上次收取Google AdSense(谷歌广告联盟)的100刀已经是几个月之前的事了,前两天天收到了谷歌联盟的自动付款:西联汇款。   一般谷歌Google AdSe…

    2019-12-23
    7.4K00

发表回复

登录后才能评论