ENS首席开发者揭露允许网络钓鱼者模仿谷歌官方警报的漏洞

4月17日消息，ENS首席开发者Nick Johnson揭露了一起利用谷歌系统漏洞的网络钓鱼攻击。该攻击通过伪造的邮件和登录页面实施，邮件看似来自谷歌法律部门，声称收件人账户涉及调查，并带有真实的DKIM签名及谷歌官方域名，可绕过垃圾邮件过滤。

攻击的关键在于一个链接至伪造支持门户的sites.google.com页面，暴露了两大安全问题：Google Sites允许执行脚本，可能被用于窃取用户凭证；OAuth协议存在缺陷。起初，谷歌认为此漏洞“符合设计预期”，但在公众压力下，最终承认问题并计划修复OAuth漏洞。

安全专家提醒用户警惕意外法律文书邮件，输入凭证前需仔细核对网址。