您现在的位置是：首页 > 快讯快讯

ENS首席开发者揭露允许网络钓鱼者模仿谷歌官方警报的漏洞

zhoucl 2025-04-17 08:42:38 快讯已有人查阅

导读 4月17日消息，据Bitcoin.com报道，ENS首席开发者Nick Johnson揭露了一起精妙的网络钓鱼攻击，该攻击利用了谷歌系统中的漏洞，尤其是近期已修复的OAuth漏洞。据Johnson描述，攻击者先发送看似来自谷歌法律部门的欺诈邮件，谎称收件人的账户涉及传票调查。这些邮件带有真实的DKIM数字签名，且发自谷歌官方的no-reply域名，因此能轻易绕过Gmail的垃圾邮件过滤。Johnson指出，该骗局的可信度因一个链接至伪造支持门户的sites.google.com超链接而大增。这个伪造的谷

4月17日消息，ENS首席开发者Nick Johnson曝光了一起利用谷歌系统漏洞的网络钓鱼攻击。该攻击通过伪造的邮件和登录页面窃取用户凭证。

攻击者发送伪装成谷歌法律部门的邮件，声称收件人账户涉及调查。这些邮件带有真实的DKIM签名，发自谷歌官方域名，能绕过垃圾邮件过滤。邮件链接至一个基于sites.google.com的伪造支持门户，其页面利用Google Sites平台执行恶意脚本，同时暴露了OAuth协议的安全漏洞。

Johnson批评谷歌最初将此问题视为“设计预期”，并指出该漏洞对用户构成严重威胁。由于sites.google.com是可信域名，用户警惕性降低，且非法页面难以快速被举报和关闭。在公众压力下，谷歌承认问题并计划修复OAuth缺陷。

安全专家建议用户对意外法律邮件保持警惕，仔细核对网址真实性，避免输入凭证。

本文标签：

很赞哦！ ()

上一篇：韩国FSC：将按原定计划在今年下半年起草稳定币监管法规的具体内容

下一篇：预警：有诈骗分子通过接管废弃DeFi项目官网诱骗用户签署恶意交易