近日Google Apps for Work曝出一個漏洞�����,攻擊者可以利用該漏洞偽造任意網(wǎng)站的域名郵箱��,冒充公司雇員給受害人發(fā)送釣魚郵件�。
Google的域名郵箱服務
如果你想弄一個類似admin#ooxx.com的DIY郵箱來代替Gmail,那么你就可以試試在Google Apps for Work注冊個賬戶����。
從Google服務中獲取一個自定義的域名電子郵箱,只需要注冊一個gmail賬戶�。一旦創(chuàng)建賬戶以后,你可以通過Google應用提供的相應接口����,直接操作你的域名管理面板。當然�����,只有你從在Google那里取得域名認證后��,才能正常使用域名郵箱服務���。
偽造域名郵箱釣魚
安全研究人員Patrik fehrenbach和Behrouz sadeghipour發(fā)現(xiàn),攻擊者可以通過Google任意注冊一個域名郵箱�,只要它沒有在Google應用服務中使用過。
正常情況下���,在你域名認證完成之前���,Google不會讓你正常使用admin#ooxx.com之類的DIY郵箱����。但Google應用的某個頁面存在一個漏洞:Google上注冊的域名管理者無論是否進行了域名認證�,都可以發(fā)送一個“登錄指令”(Sign in Instructions)給域名郵箱成員,比如[email protected]�。
先決條件就是該域名郵箱用戶必須是在此之前注冊的,構造的url請求如下:
https ://admin.google.com/EmailLoginInstructions?userEmail=info#ooxx.com
利用該特定的email接口���,攻擊者可以偽造域名郵箱����,發(fā)送任意包含惡意鏈接的釣魚郵件給受害目標��,然后騙取他們的私密信息諸如密碼����、商業(yè)信息等等。
如下圖所示����,攻擊者成功冒充[email protected](現(xiàn)已被Twitter收購)發(fā)送釣魚郵件給受害人�����,騙取他們點進釣魚網(wǎng)站�����,提交Twitter的賬戶信息�����。
我們認為���,Google應該自動幫助用戶識別垃圾郵件,或者是警示從偽造的合法來源(如Google官方或者銀行)發(fā)來的釣魚信息�����,但是他們沒有做到這些��。
黑客通過利用這個漏洞可以就地取材�����,直接利用Google的服務器�����,給受害人發(fā)送沒有任何警示信息的釣魚郵件�。
小編推薦閱讀
