移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

利用点击劫持和CSRF对Google进行钓鱼攻击

时间:2013-03-22 12:09来源: 点击:
利用点击劫持和CSRF对Google进行钓鱼攻击
TagsGoogle(24)CSRF(8)点击劫持(1)钓鱼攻(3)  

  包括在线文档、电子表格和演示文稿三类。用户可以轻易地执行所有的基本操作,包括编制项目列表、按列排序、添加表格/图像/注释/公式、更改字体,还有更多操作。它是完全免费的。

利用点击劫持和CSRF对Google进行钓鱼攻击

  但是最近一名黑客演示了攻击Google docs,成功的完成了欺骗用户,获取了他们的、Gmail、凭证与信用卡信息。

  安全研究人员克蒂·菲利普·马修想出点击劫持和在Google docs”CSRF漏洞”。允许黑客创建一个文档对受害者的推动进一步的钓鱼攻击。

  关于点击劫持:简单的说就是你点击鼠标的行为被人给控制了。

  1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多和操作平台都有这样的漏洞。

  2、点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的个人信息改为“公开”状态。

  3、点击劫持这个词首次出现在2008年,是由安全专家罗伯特·汉森和利米·格劳斯曼首创的,这个词其实是“点击”(click)和“劫持”(hijacking)两个词组合而成的。克里斯蒂·菲利普·马修解释了如何执行这项技术可以控制一个用户窃取受害人的所有类型的凭证与钓鱼攻击。

  试验性的利用两个谷歌帐号扮演 “攻击者和受害者”,攻击者需要发一份恶意URL给受害者,受害者只需要一点击恶意URL。漏洞允许黑客诱骗谷歌用户创建一个文档在受害者的文档列表里。

  当然执行一个成功的攻击,攻击者可以精心制作恶意文件。

  视频:

利用点击劫持和CSRF对Google进行钓鱼攻击

  受害人可能会相信这是一个谷歌客服默认发送的文件或谷歌服务,攻击者可以偷偷保存所有类型的个人信息。因为攻击者和受害者,都是这个新文件的拥有者,攻击者可以打开文件进

  行访问,然后将删除他自己对该文件的所有权。最后,受害者只是文档的所有者(“公开”状态),黑客将能够看到所有远程更新- – - – -任何地方任何时候!

  记录:

  漏洞往往是不固定的,但我们敦促谷歌尽快解决这个问题,以确保谷歌用户的最大的安全性。

  现在并没有谷歌“GooPass“服务,“GooPass“这个词是只是用来欺骗受害者以进行网络钓鱼。

------分隔线----------------------------

推荐内容