Google漏洞可伪造域名邮箱钓鱼

安全 漏洞
近日Google Apps for Work曝出一个漏洞,攻击者可以利用该漏洞伪造任意网站的域名邮箱,冒充公司雇员给受害人发送钓鱼邮件。

近日Google Apps for Work曝出一个漏洞,攻击者可以利用该漏洞伪造任意网站的域名邮箱,冒充公司雇员给受害人发送钓鱼邮件。

Google漏洞可伪造域名邮箱钓鱼

Google的域名邮箱服务

如果你想弄一个类似admin@ooxx.com的DIY邮箱来代替Gmail,那么你就可以试试在Google Apps for Work注册个账户。

从Google服务中获取一个自定义的域名电子邮箱,只需要注册一个gmail账户。一旦创建账户以后,你可以通过Google应用提供的相应接口,直接操作你的域名管理面板。当然,只有你从在Google那里取得域名认证后,才能正常使用域名邮箱服务。

伪造域名邮箱钓鱼

安全研究人员Patrik fehrenbach和Behrouz sadeghipour发现,攻击者可以通过Google任意注册一个域名邮箱,只要它没有在Google应用服务中使用过。

正常情况下,在你域名认证完成之前,Google不会让你正常使用admin@ooxx.com之类的DIY邮箱。但Google应用的某个页面存在一个漏洞:Google上注册的域名管理者无论是否进行了域名认证,都可以发送一个“登录指令”(Sign in Instructions)给域名邮箱成员,比如info@ooxx.com。

先决条件就是该域名邮箱用户必须是在此之前注册的,构造的url请求如下:

https://admin.google.com/EmailLoginInstructions?userEmail=info@ooxx.com

利用该特定的email接口,攻击者可以伪造域名邮箱,发送任意包含恶意链接的钓鱼邮件给受害目标,然后骗取他们的私密信息诸如密码、商业信息等等。

如下图所示,攻击者成功冒充admin@vine.com(现已被Twitter收购)发送钓鱼邮件给受害人,骗取他们点进钓鱼网站,提交Twitter的账户信息。

Google漏洞可伪造域名邮箱钓鱼

我们认为,Google应该自动帮助用户识别垃圾邮件,或者是警示从伪造的合法来源(如Google官方或者银行)发来的钓鱼信息,但是他们没有做到这些。

黑客通过利用这个漏洞可以就地取材,直接利用Google的服务器,给受害人发送没有任何警示信息的钓鱼邮件。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2012-12-09 17:46:27

2021-03-28 10:26:36

网络钓鱼攻击网络安全

2020-12-31 09:42:30

漏洞Google Docs

2015-06-12 10:27:46

2010-11-22 12:56:37

2016-10-18 14:22:41

2012-12-20 10:53:44

2013-09-18 09:46:09

钓鱼网站顶级域名

2009-10-22 09:52:41

域名邮箱安全

2021-09-05 09:04:19

网络钓鱼Windows 11恶意软件

2023-12-14 15:34:19

2012-04-12 15:27:44

2011-03-28 14:56:12

香港域名

2017-01-20 15:34:10

2010-09-08 22:15:28

自建邮箱域名统一263企业邮箱

2013-11-05 13:38:27

2017-10-21 21:46:32

2011-08-10 13:47:38

2015-03-03 14:11:07

域名Google

2014-11-04 11:19:51

点赞
收藏

51CTO技术栈公众号