【安全资讯】黑客利用Google OAuth进行DKIM重放攻击，伪装成Google进行钓鱼

概要：

在一起巧妙的网络钓鱼攻击中，黑客利用Google OAuth的漏洞，发送伪装成Google系统的虚假邮件，成功通过所有验证，诱导用户访问一个收集登录信息的欺诈页面。这一事件揭示了网络安全中的新威胁，尤其是针对不熟悉技术的用户。

主要内容：

黑客通过Google的基础设施，发送了一封看似来自“no-reply@google.com”的邮件，内容声称是来自执法机构的传票，要求提供Google账户内容。尽管邮件通过了DomainKeys Identified Mail（DKIM）认证，但实际发件人却是另一个地址。受害者Nick Johnson发现，邮件中的虚假支持门户网站托管在Google的免费建站平台上，这使得受害者更难识别钓鱼攻击。

Johnson指出，虚假门户网站几乎与真实网站一模一样，唯一的线索是其域名为sites.google.com而非accounts.google.com。攻击者的目的是收集用户凭证，从而入侵受害者的账户。攻击的巧妙之处在于，黑客利用DKIM重放钓鱼攻击，使得伪造邮件看似合法。

深入分析邮件细节后，Johnson发现邮件的“发件人”地址与Google的地址不同，但邮件仍然通过了DKIM签名验证。攻击者首先注册了一个域名，并创建了一个Google账户，利用OAuth应用程序发送伪造的安全警报。由于Google的DKIM检查仅验证邮件内容和头部，而不检查信封，导致伪造邮件成功通过验证。此事件不仅影响了Google用户，也表明了其他平台（如PayPal）也可能受到类似攻击的威胁。Google目前正在修复这一OAuth漏洞，以保护用户安全。