Credit:Unsplash/CC0 Public Domain Avanan的一组安全研究人员报告称,黑客正在利用谷歌文档的一个安全漏洞——一个利用评论功能的漏洞。他们声称,他们看到黑客利用该漏洞攻击30名Outlook用户的500个收件箱,涉及100多个个人电子邮件帐户。Avanan的团队声称,他们在去年6月发现了Google Do cs中的一个早期漏洞——一个允许黑客向用户发送网络钓鱼链接的漏洞。然后,在去年10月,他们发现黑客找到了另一种方法,利用评论功能向不知情的用户发送网络钓鱼链接。他们进一步声称,该漏洞没有被谷歌修复,正因为如此,他们上个月开始看到黑客利用该漏洞。
黑客方法既简单又直接——黑客创建一个谷歌文档,并在其中添加注释,包括一个@符号,后跟一个电子邮件地址。该符号会自动提醒系统向电子邮件地址中指定的人发送电子邮件,发送的电子邮件中包含网络钓鱼链接,将用户发送到可能导致恶意代码的网页。
黑客之所以成功,是因为发送的电子邮件没有显示黑客的电子邮件地址——只是他们指定的一个名字。而且因为邮件来自Goo gle,用户相信它是合法的。同样的功能也允许电子邮件偷偷通过垃圾邮件过滤器。值得注意的是,受害者甚至不需要打开谷歌文档就能成为目标,因为他们被看起来友好的电子邮件所攻击。对马可来说,更糟糕的是,攻击者甚至不需要共享文档——只需在评论中加上受害者的地址就可以完成任务。
Avanan的团队报告说,到目前为止,大多数攻击都涉及Outlook,但注意到它几乎可以在任何电子邮件系统中正常工作。他们还指出,为了避免成为此类攻击的受害者,用户只需避免点击谷歌文档发送的电子邮件中嵌入的链接。他们最后声称,他们在1月4日向谷歌简要介绍了他们的发现,但到目前为止,该漏洞尚未修复。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
