交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
以太坊名称服务开发者警告:新型谷歌钓鱼诈骗威胁用户安全
谷歌基础设施漏洞被利用
以太坊名称服务(ENS)首席开发者尼克·约翰逊近日向加密货币用户发出警告,提醒他们注意一种利用谷歌基础设施的新型网络钓鱼诈骗。约翰逊在社交媒体上详细解释了诈骗者如何利用谷歌基础设施中的漏洞实施诈骗。
据约翰逊介绍,诈骗者能够发送看似完全真实的邮件,通知用户谷歌已收到传票,要求其提供用户谷歌账户信息。这封安全警报邮件会要求用户对传票提出异议或查看案件材料。
钓鱼邮件伪装技术高超
约翰逊指出:"首先需要注意的是,这是一封有效的、经过签名的邮件——它确实是从no-reply@google.com发送的。它通过了DKIM签名检查,Gmail在显示时没有任何警告——甚至将其与其他合法的安全警报归为同一对话。"
当用户点击邮件中的链接时,会被引导至一个看似真实的支持页面。然而,这个支持门户的URL是sites.google.com,这是诈骗者用来欺骗用户认为其真实性的伎俩。约翰逊表示,这个虚假的支持页面很可能是一个钓鱼网站,诈骗者在此收集用户的登录凭证。
谷歌Sites成为诈骗工具
约翰逊进一步解释了不法分子如何创建看似真实的虚假谷歌支持页面。他指出,sites.google.com是谷歌的一个遗留产品,允许用户在Google.com子域名上托管其内容。
该产品允许脚本和嵌入,这使得诈骗者能够在谷歌子域名上构建凭证收集网站,并在谷歌团队删除旧版本时上传新版本。约翰逊表示:"谷歌早就意识到在google.com上托管公开的用户指定内容是个坏主意,但Google Sites仍然存在。"
漏洞报告被谷歌忽视
有趣的是,诈骗者通过利用Gmail中的一个漏洞生成虚假的安全警报邮件。约翰逊在分析邮件时指出了几个线索,如邮件头显示它是由"privateemail.com"发送的,收件人是'me@blah',以及钓鱼信息下方的空白区域。
约翰逊表示,他已向谷歌提交了关于该漏洞的报告,但这家科技巨头决定不解决这个问题。谷歌安全团队关闭了报告,指出该功能"按预期工作",这意味着他们不认为这是一个漏洞。
加密货币用户面临多重威胁
这份关于网络钓鱼诈骗者利用谷歌漏洞窃取用户信息的报告,凸显了加密货币用户面临的多种威胁。就在几天前,安全专家声称黑客正在使用InfoStealers恶意软件从浏览器中窃取用户凭证。
约翰逊强调,由于谷歌拒绝采取行动,这个漏洞可能会持续存在。因此,用户提高警惕并保护自己至关重要。
