在一次相當巧妙的攻擊中，黑客利用了一個漏洞，得以發(fā)送一封看似來自谷歌系統(tǒng)的虛假電子郵件，通過了所有驗證，但指向了一個用于收集登錄信息的欺詐頁面。

攻擊者利用谷歌的基礎設施誘騙收件人訪問一個看似合法的“支持門戶”，該門戶要求提供谷歌賬戶憑證。

這條欺詐信息看似來自“no-reply@google.com”，并且通過了域名密鑰識別郵件（DKIM）驗證方法，但實際發(fā)件人卻并非如此。

帶有谷歌“域密鑰識別郵件”印章的虛假電子郵件

以太坊域名服務（ENS）的首席開發(fā)者尼克·約翰遜收到了一封看似來自谷歌的安全警報，稱執(zhí)法部門已向谷歌發(fā)出傳票，要求獲取他的谷歌賬戶內(nèi)容。

谷歌甚至將其與其他合法的安全提醒放在一起，以至于幾乎所有東西看起來都合情合理，這很可能會欺騙那些不太懂技術、不知道從何處尋找欺詐跡象的用戶。

通過谷歌系統(tǒng)轉(zhuǎn)發(fā)的網(wǎng)絡釣魚郵件

然而，約翰遜敏銳發(fā)現(xiàn)，電子郵件中的虛假支持門戶網(wǎng)站托管在sites.google.com——谷歌的免費網(wǎng)站建設平臺上，這引起了人們的懷疑。

在谷歌域名上，收件人意識到他們被瞄準的機會更低。約翰遜說，這個虛假的支持門戶網(wǎng)站“和真實的完全一樣”，唯一的跡象是它托管在sites.google.com上，而不是accounts.google.com上。

假冒谷歌支持門戶

開發(fā)人員認為，欺詐性網(wǎng)站的目的是收集憑據(jù)，以破壞收件人的帳戶。

假門戶在騙局中很容易解釋，但聰明的部分是傳遞一條似乎已經(jīng)通過谷歌的DKIM驗證的消息，即所謂的DKIM重放網(wǎng)絡釣魚攻擊。

仔細觀察電子郵件的詳細信息就會發(fā)現(xiàn)，mailed-by頭顯示的地址與谷歌的no-reply不同，收件人是一個me@地址，位于一個看起來像是由谷歌管理的域。然而，這條消息是由谷歌簽署和傳遞的。

郵件標頭顯示真實的收件人和投遞地址

約翰遜將線索拼湊起來，識破了騙子的伎倆。首先，他們會注冊一個域名，并為“me@域名”創(chuàng)建一個谷歌賬號。域名不是特別重要，但看起來像某種基礎設施會有所幫助。選擇“me”作為用戶名很聰明，這位開發(fā)者解釋道。

隨后，攻擊者創(chuàng)建了一個谷歌 OAuth 應用程序，并將其名稱設為整個釣魚信息。在某個時候，該信息包含大量空白，以使其看起來已經(jīng)結(jié)束，并與谷歌關于攻擊者 me@domain 電子郵件地址的訪問權(quán)限通知區(qū)分開來。

當攻擊者授權(quán)他們的OAuth應用程序訪問谷歌工作區(qū)中的電子郵件地址時，谷歌會自動向該收件箱發(fā)送安全警報。

由于谷歌生成了這封電子郵件，它用一個有效的DKIM密鑰簽名，并通過了所有的檢查。最后一步是將安全警報轉(zhuǎn)發(fā)給受害者。

谷歌系統(tǒng)的弱點是DKIM只檢查消息和頭，而不檢查信封。因此，假電子郵件通過了簽名驗證，并在收件人的收件箱中看起來是合法的。

此外，通過將欺詐地址命名為me@， Gmail將顯示消息，就好像它是發(fā)送到受害者的電子郵件地址一樣。

電子郵件認證公司EasyDMARC也詳細介紹了約翰遜描述的DKIM重放式網(wǎng)絡釣魚攻擊，并對每一步進行了技術解釋。

PayPal選項以同樣的方式被濫用

谷歌以外的其他平臺也嘗試過類似的技巧。今年3月，一場針對PayPal用戶的攻擊活動采用了同樣的方法，即欺詐性信息來自這家金融公司的郵件服務器，并通過了DKIM的安全檢查。

測試顯示，攻擊者使用“禮物地址”選項將新電子郵件鏈接到他們的PayPal賬戶。

添加新地址時有兩個字段，攻擊者用電子郵件填充其中一個字段，并將網(wǎng)絡釣魚信息粘貼到第二個字段中。

PayPal會自動向攻擊者的地址發(fā)送確認信息，該地址會將其轉(zhuǎn)發(fā)到一個郵件列表，該郵件列表會將其轉(zhuǎn)發(fā)給群組中所有潛在的受害者。

PayPal騙局使用類似的伎倆

事后有媒體就此事聯(lián)系了PayPal，但從未收到回復。Johnson還向谷歌提交了一份bug報告，而谷歌最初的回復是“這個過程是按計劃進行的”。但不久后，谷歌認識到它對用戶來說存在一定風險，目前正在努力修復OAuth的弱點。

參考及來源：https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/