[GooPass]利用点击劫持和CSRF对Google进行钓鱼攻击

2013-03-11 124596人围观 ,发现 2 个不明物体 资讯

感谢LinuxSpace投递

Google docs包括在线文档、电子表格和演示文稿三类。用户可以轻易地执行所有的基本操作,包括编制项目列表、按列排序、添加表格/图像/注释/公式、更改字体,还有更多操作。它是完全免费的。

但是最近一名黑客演示了攻击Google docs,成功的完成了欺骗用户,获取了他们的Facebook、Gmail、雅虎凭证与信用卡信息。

安全研究人员克里斯蒂•菲利普•马修想出点击劫持和在Google docs”CSRF漏洞”。允许黑客创建一个文档对受害者的推动进一步的钓鱼攻击。

关于点击劫持:简单的说就是你点击鼠标的行为被人给控制了。

1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。

2、点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。

3、点击劫持这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的,这个词其实是“点击”(click)和“劫持”(hijacking)两个词组合而成的。

克里斯蒂•菲利普•马修解释了如何执行这项技术可以控制一个谷歌用户窃取受害人的所有类型的凭证与钓鱼攻击。

试验性的利用两个谷歌帐号扮演 “攻击者和受害者”,攻击者需要发一份恶意URL给受害者,受害者只需要一点击恶意URL。漏洞允许黑客诱骗谷歌用户创建一个文档在受害者的文档列表里。

当然执行一个成功的网络钓鱼攻击,攻击者可以精心制作恶意文件。

钓鱼模板

视频:

在分析了此漏洞威胁有哪些之后,我准备了一个例子:是一个攻击者可以重命名文件的东西“谷歌GooPass”并可以诱骗用户输入自己的信用卡信息、谷歌、Facebook等用户名密码,如下图所示:

                                                              

受害人可能会相信这是一个谷歌客服默认发送的文件或谷歌服务,攻击者可以偷偷保存所有类型的个人信息。因为攻击者和受害者,都是这个新文件的拥有者,攻击者可以打开文件进

行访问,然后将删除他自己对该文件的所有权。最后,受害者只是文档的所有者(“公开”状态),黑客将能够看到所有远程更新- – - – -任何地方任何时候!

记录:

漏洞往往是不固定的,但我们敦促谷歌尽快解决这个问题,以确保谷歌用户的最大的安全性。

现在并没有谷歌“GooPass“服务,“GooPass“这个词是只是用来欺骗受害者以进行网络钓鱼。

这些评论亮了

发表评论

已有 2 条评论

取消
Loading...
css.php