近日Google Apps for Work曝出一個漏洞，攻擊者可以利用該漏洞偽造任意網(wǎng)站的域名郵箱，冒充公司雇員給受害人發(fā)送釣魚郵件。

Google的域名郵箱服務(wù)

如果你想弄一個類似admin@ooxx.com的DIY郵箱來代替Gmail，那么你就可以試試在Google Apps for Work注冊個賬戶。

從Google服務(wù)中獲取一個自定義的域名電子郵箱，只需要注冊一個gmail賬戶。一旦創(chuàng)建賬戶以后，你可以通過Google應(yīng)用提供的相應(yīng)接口，直接操作你的域名管理面板。當然，只有你從在Google那里取得域名認證后，才能正常使用域名郵箱服務(wù)。

偽造域名郵箱釣魚

安全研究人員Patrik fehrenbach和Behrouz sadeghipour發(fā)現(xiàn)，攻擊者可以通過Google任意注冊一個域名郵箱，只要它沒有在Google應(yīng)用服務(wù)中使用過。

正常情況下，在你域名認證完成之前，Google不會讓你正常使用admin@ooxx.com之類的DIY郵箱。但Google應(yīng)用的某個頁面存在一個漏洞：Google上注冊的域名管理者無論是否進行了域名認證，都可以發(fā)送一個“登錄指令”(Sign in Instructions)給域名郵箱成員，比如info@ooxx.com。

先決條件就是該域名郵箱用戶必須是在此之前注冊的，構(gòu)造的url請求如下：

https://admin.google.com/EmailLoginInstructions?userEmail=info@ooxx.com

利用該特定的email接口，攻擊者可以偽造域名郵箱，發(fā)送任意包含惡意鏈接的釣魚郵件給受害目標，然后騙取他們的私密信息諸如密碼、商業(yè)信息等等。

如下圖所示，攻擊者成功冒充admin@vine.com(現(xiàn)已被Twitter收購)發(fā)送釣魚郵件給受害人，騙取他們點進釣魚網(wǎng)站，提交Twitter的賬戶信息。

我們認為，Google應(yīng)該自動幫助用戶識別垃圾郵件，或者是警示從偽造的合法來源(如Google官方或者銀行)發(fā)來的釣魚信息，但是他們沒有做到這些。

黑客通過利用這個漏洞可以就地取材，直接利用Google的服務(wù)器，給受害人發(fā)送沒有任何警示信息的釣魚郵件。