Ngày 17 tháng 4, theo báo cáo từ một nguồn tin, Nick Johnson, nhà phát triển chính của ENS, đã tiết lộ một cuộc tấn công lừa đảo phức tạp khai thác lỗ hổng bảo mật trong hệ thống của Google, đặc biệt là lỗ hổng OAuth mới được khắc phục.
Đầu tiên, kẻ tấn công gửi email lừa đảo giả mạo từ bộ phận pháp lý của Google, tuyên bố sai lệch rằng tài khoản của người nhận liên quan đến một cuộc điều tra trát lệnh. Những email này có chữ ký số DKIM thật và được gửi từ miền chính thức của Google, dễ dàng vượt qua bộ lọc thư rác của Gmail. Johnson cho biết, liên kết tới sites.google.com khiến độ đáng tin của trò lừa này gia tăng. Trang đăng nhập Google giả mạo này nhằm khai thác hai lỗ hổng bảo mật lớn: cho phép thực thi các tập lệnh tuỳ ý và tồn tại lỗ hổng trong giao thức OAuth.
Ông Johnson kịch liệt chỉ trích cách tiếp cận của Google khi ban đầu xử lý lỗ hổng này như “theo thiết kế”, nhấn mạnh rằng đây là mối đe dọa nghiêm trọng. Nguy hiểm hơn, tên miền đáng tin cậy sites.google.com được sử dụng như vỏ bọc, làm giảm sự cảnh giác của người dùng. Hơn nữa, cơ chế báo cáo lạm dụng của Google Sites chưa hoàn thiện, khiến việc đóng các trang bất hợp pháp kịp thời trở nên khó khăn. Sau áp lực từ công chúng, Google cuối cùng thừa nhận vấn đề và lên kế hoạch sửa chữa lỗ hổng trong giao thức OAuth.
Các chuyên gia bảo mật khuyến cáo người dùng cần cảnh giác, nghi ngờ mọi tài liệu pháp lý bất ngờ và kiểm tra kỹ tính xác thực của URL trước khi nhập thông tin xác thực.
