피에이뉴스(PANews) 4월 17일 소식에 따르면, Bitcoin.com의 보도에 의하면, 이더리움 네임서비스(ENS) 수석 개발자 Nick Johnson이 정교한 피싱 공격을 폭로했습니다. 이 공격은 구글 시스템의 취약점, 특히 최근에 수정된 OAuth 취약점을 악용했습니다. Johnson의 설명에 따르면, 공격자들은 먼저 구글 법무부서에서 온 것처럼 보이는 사기 이메일을 보내, 수신자의 계정이 소환장 조사와 관련되었다고 거짓 주장했습니다. 이러한 이메일들은 실제 DKIM 디지털 서명을 가지고 있고 구글 공식 no-reply 도메인에서 발송되어 Gmail의 스팸 필터를 쉽게 우회할 수 있었습니다. Johnson은 이 사기의 신뢰성이 위조된 지원 포털로 연결되는 sites.google.com 하이퍼링크로 인해 크게 증가했다고 지적했습니다. 이 위조된 구글 로그인 페이지는 두 가지 주요 보안 취약점을 드러냈습니다: 첫째, Google Sites 플랫폼이 임의의 스크립트 실행을 허용하여 범죄자들이 자격 증명을 훔칠 수 있는 페이지를 만들 수 있었고, 둘째, OAuth 프로토콜 자체에 결함이 있었습니다.
Johnson은 구글이 처음에 이 취약점을 "설계 의도에 부합한다"고 간주했다고 비난하며, 이 취약점이 심각한 위협을 구성한다고 강조했습니다. 더욱 나쁜 것은, 위조 포털이 sites.google.com과 같은 신뢰할 수 있는 도메인을 은폐 수단으로 이용하여 사용자의 경계심을 크게 낮췄다는 점입니다. 또한 Google Sites의 남용 신고 메커니즘이 불완전하여 불법 페이지를 적시에 폐쇄하기 어려웠습니다. 대중의 압박 하에 구글은 결국 문제를 인정했습니다. Johnson은 이후 구글이 OAuth 프로토콜의 결함을 수정할 계획이라고 확인했습니다. 보안 전문가들은 사용자들에게 경계를 늦추지 말고, 예상치 못한 법적 문서에 대해 의심을 품고, 자격 증명을 입력하기 전에 URL의 진위를 주의 깊게 확인하라고 경고했습니다.
