Google 强化 OAuth 协议以防 *** 钓鱼攻击
据外媒 8 日报道,黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模 *** 钓鱼攻击后,Google 表示将强化 OAuth 协议以防止此类事件再度发生。
OAuth 协议允许第三方应用程序在未触及用户帐号信息(如用户名与密码)时,申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。
调查显示,Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件,其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面,然而这并非真实的 Google Docs 页面,而是由企图获取用户权限的黑客伪造所伪造的。此外,伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求,若成功获得用户许可,程序将自动向受害者联系人发送相同钓鱼邮件。
事实上,干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道,此次 Google 在收到首份钓鱼邮件报告后立即进行了处理,但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前,也只有不到 0.1% 的 Gmail 用户受到此次攻击事件的影响。
原作者:Gabriela Vatu, 译者:青楚,译审:狐狸酱
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“Google 强化 OAuth 协议以防 *** 钓鱼攻击” 的相关文章
关键 SonicOS 漏洞影响 SonicWall 防火墙设备
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
加拿大卡车司机抗议活动资助网站被黑 大量敏感信息泄露
作为加拿大“自由车队”卡车司机抗议活动的首选筹款平台,GiveSendGo 刚因遭遇黑客攻击而下线。有关捐赠者的泄露信息,也正在网络上传播。Daily Dot 记者 Mikael Thalen 指出:周日晚间,该网站域名被重定向到了 GiveSendGone[.]wtf,并且不断重播《冰雪奇缘》的一...
欧盟将公布新法律 迫使大型科技公司对非法内容进行监管
欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。 据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证...
微软禁用 MSIX AppX 安装程序以使用户免遭 Emotet、BazarLoader 类威胁
微软今天正式宣布,它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地存储。当时的想法是,这种方法将为用户节省空间,因为不需要下载整个MSIX包。 然而,这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件,如...
Tor 网站被劫持,REvil勒索软件再次关闭
在一个不明身份的人劫持了他们的Tor支付门户网站和数据泄露博客后,REvil勒索软件可能再次关闭。 17日早些时候, Tor网站下线了,一名与REvil勒索软件有关的威胁行为者在XSS黑客论坛上发帖称有人劫持了REvil团伙的域名。 这个帖子最先是被Recorded Future的Dmitry Sm...
盘点 2021 年十大网络安全事件
作者:知道创宇404实验室 (转载本文请注明出处:https://hackernews.cc/archives/37193) 在网络安全领域,2021年注定是不平静的一年。世界各地频发网络安全事件,诸如数据泄漏、勒索软件、黑客攻击等等层出不穷,有组织、有目的的网络攻击形势愈加明显,网络安全风险持续...
评论列表
发表评论
