可以欺骗谷歌Inbox电子邮件以伪造收件人

  • 作者:zccc
  • 来源:网络
  • 2020-07-24 15:06:51

7月24日消息 请小心单击。埃利·格雷(Eli Gray)是一位安全研究人员,他发现了Google Inbox中的一个设计缺陷,攻击者可以利用该缺陷创建一个欺骗电子邮件收件人的mailto...

7月24日消息 请小心单击。埃利·格雷(Eli Gray)是一位安全研究人员,他发现了Google Inbox中的一个设计缺陷,攻击者可以利用该缺陷创建一个欺骗电子邮件收件人的mailto链接。他在大约一年前的2017年5月4日发现了此问题,并将其私下报告给Google。在今年3月16日采取后续行动后,该设计缺陷仍未得到解决,他决定公开披露该缺陷。



通常情况是,mailto链接用于自动填充电子邮件的内容,以节省用户一些时间。我们在提示页面上使用mailto链接,以使用户更容易向我们发送提示。电子邮件客户端(例如Gmail或Google收件箱)应该解析这些链接,并使用mailto链接中包含的任何信息预先编写电子邮件草稿。例如,您可以单击一个链接以向PayPal客户支持发送电子邮件,并且该电子邮件在外发收件人框中将显示support@paypal.com 。

Eli Gray发现的是,您可以构造一个mailto链接来欺骗Google Inbox中的电子邮件收件人。这意味着即使草稿电子邮件可能表明您正在将电子邮件发送至support@paypal.com ,也可能会将其发送至完全不同的地址。您唯一知道的方法是在发送电子邮件之前是否检查了mailto链接或展开了“ to”字段。

例如,此mailto 链接会将support@paypal.com 放在“ 收件人”框中,但是,如果您实际上在此处发送电子邮件,它将转至scammer@phishing.fakewebsite (显然不是真实的电子邮件地址。)幸运的是,这问题似乎并不影响Gmail或Outlook,因此,如果您使用这些服务,则不必担心。

无论如何,这是为什么您应始终检查指向要单击的任何内容的链接的主要示例。去年,一个非常聪明的Google Docs网络钓鱼计划震惊了整个世界,因为它甚至对大多数细心的技术精明的用户都具有说服力。避免重复执行这些计划需要保持警惕,并且在您自己的人身安全方面不要感到太自在。

<a href=http://www.xinnet.com target=_blank>新网</a>企业<a href=http://www.xinnet.com/mail/mail.html target=_blank>邮箱</a>

  • 相关专题

免责声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,请发送邮件至:operations@xinnet.com进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

相关文章

免费咨询获取折扣