近日Google Apps for Work曝出一個(gè)漏洞��,攻擊者可以利用該漏洞偽造任意網(wǎng)站的域名郵箱,冒充公司雇員給受害人發(fā)送釣魚郵件��。
Google的域名郵箱服務(wù)
如果你想弄一個(gè)類似admin#ooxx.com的DIY郵箱來代替Gmail��,那么你就可以試試在Google Apps for Work注冊個(gè)賬戶��。
從Google服務(wù)中獲取一個(gè)自定義的域名電子郵箱��,只需要注冊一個(gè)gmail賬戶��。一旦創(chuàng)建賬戶以后��,你可以通過Google應(yīng)用提供的相應(yīng)接口��,直接操作你的域名管理面板��。當(dāng)然��,只有你從在Google那里取得域名認(rèn)證后��,才能正常使用域名郵箱服務(wù)��。
偽造域名郵箱釣魚
安全研究人員Patrik fehrenbach和Behrouz sadeghipour發(fā)現(xiàn)��,攻擊者可以通過Google任意注冊一個(gè)域名郵箱��,只要它沒有在Google應(yīng)用服務(wù)中使用過��。
正常情況下��,在你域名認(rèn)證完成之前��,Google不會讓你正常使用admin#ooxx.com之類的DIY郵箱��。但Google應(yīng)用的某個(gè)頁面存在一個(gè)漏洞:Google上注冊的域名管理者無論是否進(jìn)行了域名認(rèn)證��,都可以發(fā)送一個(gè)“登錄指令”(Sign in Instructions)給域名郵箱成員��,比如[email protected]��。
先決條件就是該域名郵箱用戶必須是在此之前注冊的��,構(gòu)造的url請求如下:
https ://admin.google.com/EmailLoginInstructions?userEmail=info#ooxx.com
利用該特定的email接口��,攻擊者可以偽造域名郵箱��,發(fā)送任意包含惡意鏈接的釣魚郵件給受害目標(biāo)��,然后騙取他們的私密信息諸如密碼��、商業(yè)信息等等��。
如下圖所示,攻擊者成功冒充[email protected](現(xiàn)已被Twitter收購)發(fā)送釣魚郵件給受害人��,騙取他們點(diǎn)進(jìn)釣魚網(wǎng)站��,提交Twitter的賬戶信息��。
我們認(rèn)為��,Google應(yīng)該自動(dòng)幫助用戶識別垃圾郵件��,或者是警示從偽造的合法來源(如Google官方或者銀行)發(fā)來的釣魚信息��,但是他們沒有做到這些��。
黑客通過利用這個(gè)漏洞可以就地取材��,直接利用Google的服務(wù)器��,給受害人發(fā)送沒有任何警示信息的釣魚郵件��。
小編推薦閱讀
