黑客滥用谷歌应用漏洞发送网络钓鱼邮件

Google Apps for Work中发现了一个严重漏洞，允许黑客滥用任何网站基于域名的电子邮件地址，然后可以使用该地址代表公司发送钓鱼电子邮件，以锁定用户。

admin@yourdomain.com而不是myemail@gmail.com，然后你就可以在谷歌应用程序上注册一个工作账户。

这个谷歌工作应用该服务允许您使用Gmail、硬盘存储、日历、在线文档、视频聊天室以及其他与团队或组织协作的服务。

要从谷歌获得基于域名的定制电子邮件服务，只需像普通Gmail账户一样注册即可。一旦创建，你可以在谷歌应用程序界面上访问你的域名的管理控制台面板，但在你从谷歌获得域名验证之前，你不能使用任何服务。

从被劫持的账户发送网络钓鱼邮件

网络安全研究人员帕特里克·费伦巴赫和维护者发现攻击者可以注册任何未使用的（以前未在Google apps服务中注册）域，例如：任何国家的银行。具有通过谷歌应用程序，你可以获得admin@bankofanycountry.com“算了。

但很明显，谷歌不会让你访问电子邮件服务admin@bankofanycountry.com，直到域验证完成，这意味着你既不能从该帐户发送任何电子邮件，也不能接收。

然而，两人解释道黑客新闻谷歌应用上有一个页面，允许域管理员向组织用户发送“登录说明”，即nfo@bankofanycountry.com（必须在继续之前从面板创建）直接在浏览器上访问以下URL。

如图所示，通过使用compose电子邮件界面，攻击者可以向目标用户发送包含恶意链接的任何类型的钓鱼电子邮件，试图诱骗他们泄露其个人信息，包括密码、财务详细信息或任何其他敏感信息。

安全补丁之前

如下图所示，研究人员成功获得了admin@vine.com（通过Twitter获得）并向受害者发送邮件，包含主题：欢迎来到Twitter，这可以说服用户向给定的网络钓鱼页面提交他们的Twitter凭据。
研究人员向这家搜索引擎巨头报告了这个安全和隐私问题，我认为，该公司已经对该漏洞进行了部分修补。目前，它仍允许攻击者访问发送登录说明“对于未经验证的域名，但这次是通过应用程序-noreply@google.com，而不是自定义电子邮件地址。

安全补丁后

但是，后果仍然是一样的，因为这不会阻止黑客以受害者为目标。

一般来说，谷歌会自动帮助识别垃圾邮件和可疑电子邮件，并将它们标记为垃圾邮件或网络钓鱼警告，就像它们来自合法来源，如你的银行或谷歌，但它们不是。

然而，通过滥用上述谷歌漏洞，黑客可以在没有任何警告的情况下将钓鱼邮件直接发送到你的收件箱，因为该邮件是从谷歌自己的服务器生成的。