主要内容
攻击者发送看似来自“no-reply@google.com”的钓鱼邮件,以关于“执法部门”向目标谷歌账户索取信息的紧急传票警报形式呈现。Bleeping Computer 报道称,该骗局利用谷歌的“站点”网络构建应用创建看似真实的钓鱼网站和邮件,旨在恐吓受害者交出其凭证。正如电子邮件认证公司 EasyDMARC 所解释的,这些邮件能够绕过通常会标记虚假邮件的域密钥识别邮件(DKIM)认证,因为它们来自谷歌自己的工具。诈骗者只需将邮件的全文作为其虚假应用的名称,该名称会自动填充到谷歌发送到其自己选定地址的邮件中。谷歌安全通信发言人罗斯·里奇恩德弗回复时表示:“我们意识到来自该威胁行为者的此类定向攻击,并已推出保护措施以关闭这种滥用途径。与此同时,我们鼓励用户采用双重身份验证和密码钥匙,它们为抵御此类钓鱼活动提供了强大的保护。”当从诈骗者转发到用户的 Gmail 收件箱时,由于 DKIM 仅检查邮件和标题,它仍然是签名且有效的。上个月,PayPal 用户也以类似方式成为 DKIM 中继攻击的目标。最后,它链接到 sites.google.com 上看似真实的支持门户,而不是 accounts.google.com,希望收件人不会察觉。以太坊名称服务开发者尼克·约翰逊收到了相同的谷歌钓鱼骗局,并向谷歌报告了攻击者滥用谷歌 OAuth 应用程序的情况,称其为安全漏洞。该公司最初将其视为“按预期工作”,但后来又改变了态度,现在正在努力修复。更新,4 月 21 日:添加了谷歌的声明。