在一次相当巧妙的攻击中,黑客利用了一个弱点,使他们能够发送一封看似来自谷歌系统的虚假电子邮件,通过所有验证,但指向一个收集登录信息的欺诈页面。
攻击者利用 Google 的基础设施诱骗收件人访问看似合法的“支持门户”,该门户要求提供 Google 帐户凭据。
以太坊名称服务 (ENS) 的首席开发人员尼克·约翰逊 (Nick Johnson)收到了一条看似来自谷歌的安全警报,通知他执法机构发出传票,要求他提供谷歌帐户内容。
几乎所有内容看起来都是合法的,谷歌甚至将其与其他合法的安全警报放在一起,这可能会欺骗那些不知道在哪里寻找欺诈迹象的技术水平较低的用户。
然而,约翰逊敏锐地发现,电子邮件中的虚假支持门户托管在 sites.google.com(谷歌的免费网站建设平台)上,这引起了怀疑。
在 Google 域名上,收件人意识到自己成为目标的可能性较低。
约翰逊表示,这个虚假的支持门户“与真正的门户网站一模一样”,唯一能表明它是钓鱼网站的地方就是它托管在sites.google.com上,而不是accounts.google.com 上。
开发人员认为,该欺诈网站的目的是收集凭证以窃取收件人的帐户。
虚假门户网站在骗局中很容易解释,但巧妙之处在于传递一条似乎已通过 Google 的 DKIM 验证的消息,即所谓的 DKIM 重放网络钓鱼攻击。
仔细查看电子邮件详细信息后发现,邮寄标题显示的地址与 Google 的无回复地址不同,并且收件人是一个me@地址,该域名看起来像是由 Google 管理的。
这位开发者解释道:首先,他们注册一个域名,并以“me@domain”创建一个 Google 帐户。域名本身并不重要,但如果看起来像某种基础设施,它就会有所帮助。选择“me”作为用户名非常巧妙。
攻击者随后创建了一个 Google OAuth 应用,并将整个钓鱼邮件命名为该应用。邮件中一度包含大量空格,使其看起来像是已结束,并将其与 Google 发出的关于攻击者可以访问其me@domain电子邮件地址的通知区分开来。
当攻击者授予其 OAuth 应用访问 Google Workspace 中其电子邮件地址的权限时,Google 会自动向该收件箱发送安全警报。
由于谷歌生成了该电子邮件,因此它是使用有效的 DKIM 密钥签名并通过所有检查的,最后一步是将安全警报转发给受害者。
Google 系统的弱点在于,DKIM 仅检查邮件正文和邮件头,而不检查信封。因此,伪造邮件能够通过签名验证,并在收件人的收件箱中显示为合法邮件。
此外,通过将欺诈地址命名为me@, Gmail 将显示该邮件,就好像它已发送到受害者的电子邮件地址一样。
电子邮件认证公司 EasyDMARC 还详细介绍了 约翰逊描述的DKIM 重放网络钓鱼攻击, 并为每个步骤提供了技术解释。
除了谷歌,其他平台也尝试过类似的伎俩。今年 3 月,针对 PayPal 用户的攻击活动就使用了同样的方法,欺诈邮件源自这家金融公司的邮件服务器,并通过了 DKIM 安全检查。
BleepingComputer 的测试显示,攻击者使用“礼品地址”选项将新电子邮件链接到他们的 PayPal 帐户。
添加新地址时有两个字段,攻击者在其中一个字段中填写电子邮件,并将网络钓鱼消息粘贴到第二个字段中。
PayPal 会自动向攻击者的地址发送确认信息,然后将其转发到邮件列表,再由邮件列表转发给群组中所有潜在的受害者。
BleepingComputer 就此问题联系了 PayPal,但尚未收到回复。
约翰逊还向谷歌提交了一份错误报告,该公司最初的回复是该过程正在按预期进行。
然而,谷歌后来重新考虑了这个问题,认识到这对用户来说是一个风险,目前正在努力修复 OAuth 的弱点。
原文始发于微信公众号(犀牛安全):网络钓鱼者滥用 Google OAuth 来欺骗 Google 进行 DKIM 重放攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3993101.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论