El desarrollador principal de ENS expone una vulnerabilidad que permite a los phishers imitar las alertas oficiales de Google

robot
Generación de resúmenes en curso

PANews informó el 17 de abril que, según Bitcoin.com informes, Nick Johnson, el desarrollador jefe de ENS, reveló un sofisticado ataque de phishing que explotó vulnerabilidades en los sistemas de Google, especialmente la vulnerabilidad OAuth recientemente corregida. Según Johnson, los atacantes primero enviaron un correo electrónico fraudulento que parecía ser del departamento legal de Google, afirmando falsamente que la cuenta del destinatario estaba involucrada en una investigación de citación. Estos correos electrónicos están firmados digitalmente con DKIM real y se envían desde el dominio oficial sin respuesta de Google, por lo que pueden eludir fácilmente el filtrado de spam de Gmail. Johnson señaló que la credibilidad de la estafa se vio reforzada en gran medida por un hipervínculo sites.google.com a un portal de soporte falso. Esta página de inicio de sesión falsa de Google expone dos vulnerabilidades de seguridad importantes: en primer lugar, la plataforma Google Sites permite ejecutar scripts arbitrarios, lo que permite a los delincuentes crear páginas que roban credenciales; La segunda es que el protocolo OAuth en sí mismo es defectuoso. Johnson condenó la visión inicial de Google de la vulnerabilidad como "lo esperado por diseño" y enfatizó que la vulnerabilidad representaba una amenaza grave. Para empeorar las cosas, los portales falsos utilizan el nombre de dominio de confianza de sites.google.com como tapadera, lo que reduce en gran medida la vigilancia de los usuarios. Además, el mecanismo de denuncia de abusos de Google Sites no es perfecto, lo que dificulta el cierre oportuno de las páginas ilegales. Bajo la presión pública, Google finalmente admitió que había un problema. Johnson luego confirmó que Google planea corregir una falla en el protocolo OAuth. Los expertos en seguridad recuerdan a los usuarios que estén atentos, que sospechen de cualquier documento legal inesperado y que verifiquen cuidadosamente la autenticidad de la URL antes de ingresar sus credenciales.

Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Recompensa
  • Comentar
  • Compartir
Comentar
0/400
Sin comentarios
  • Anclado
Opere con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)