Avanan 的一组安全研究人员报告称,黑客正在利用Google Docs的安全漏洞。他们发现黑客利用该漏洞针对 Outlook用户的500个收件箱,其中涉及 100 多个个人电子邮件帐户。

Avanan 的团队声称,他们去年 6 月在 Google Docs 中发现了一个较早的漏洞——允许黑客向用户发送网络钓鱼链接。然后,在去年 10 月,他们发现黑客找到了另一种使用评论功能向毫无戒心的用户发送钓鱼链接的方法。他们进一步声称谷歌没有修复这个漏洞,因此他们上个月开始看到黑客利用了这个漏洞。

黑客攻击方法既简单又直接——黑客创建了一个 Google Docs 文档并向其中添加评论,其中包括一个 @ 符号,后跟一个电子邮件地址。该符号会自动提醒系统向电子邮件地址中指定的人发送电子邮件——发送的电子邮件中包含网络钓鱼链接,将用户发引向有恶意代码的网页。

它之所以有效,是因为发送的电子邮件没有显示黑客的电子邮件地址——只是他们指定的名称。由于电子邮件来自谷歌官方,用户相信它是合法的。同样的功能还允许电子邮件潜入垃圾邮件过滤器。值得注意的是,受害者甚至不必打开 Google Docs 文档即可成为目标,因为他们被看似友好的电子邮件所针对。更糟糕的是,攻击者甚至不必共享文档——只需将受害者的地址放在评论中即可完成工作。

Avanan 的团队报告说,到目前为止,大多数攻击都涉及 Outlook,但注意到它几乎可以同样适用于任何电子邮件系统。他们还指出,为避免成为此类攻击的受害者,用户只需避免单击嵌入在从 Google Docs 发送的电子邮件中的链接。他们最后声称他们在 1 月 4 日向 Google 上报了他们的发现,但到目前为止,该漏洞尚未修复。

https://techxplore.com/news/2022-01-google-docs-comment-feature-exploited.html

[ 广告 ]
赞一个 (0)

PREV :
NEXT :