记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新型Gmail钓鱼攻击连最谨慎的用户都会中招

一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客 WordPress安全插件创建者Wordfence称:黑客向被泄账户联系人发送电子邮件,附上看似无害的附件。只要用户点击附件,浏览器便会打开貌似谷歌登录页面的新标签页。用户输入的登录信息就直接发回给了攻击者。 在《黑客新闻》网站,一名评论者曾描述过自己学校去年发生的类似事件。他们学校的几名员工和学生就是在收到恶意邮件并打开附件后,被骗走了自己的账户信息: 这是我见过最高明的攻击。攻击者一拿到凭证就立即登录你的账户,用你账户中真实存在的主题和附件构造恶意邮件,发给你的联系人。举个例子:他们登进某学生的账户,抽出一份田径队训练计划的附件,弄个截屏,然后带上稍微相关的主题,发送给该田径队的其他成员。 虽然将你的Gmail账户当成攻击链宿主已经够恐怖的
发布时间:2017-01-20 17:40 | 阅读:87427 | 评论:0 | 标签:威胁情报 gmail 钓鱼攻击

Gmail认证出现漏洞 任何人可劫持任意邮件账户

巴基斯坦白帽黑客学生获谷歌2万美元漏洞奖励——发现了Gmail验证过程中可致电子邮件账户被劫持的漏洞。 谷歌喜欢给新手程序员、白帽黑客和安全研究人员机会参与漏洞奖励项目,来证明他们的技术和能力,已经是众所周知的事实了。 谷歌Play、Chrome Web 商店或iTunes上现有或最新的应用、插件、软件和操作系统,都是谷歌邀请全球研究人员挖掘漏洞的目标。作为回报,成功挖出漏洞者将会收获一定奖励。此类项目的核心宗旨,就是让谷歌的应用和系统更加安全。 然而,具备谷歌漏洞奖励项目(VRP)中选资格并非易事,所发现的漏洞必须落入以下列出的几种分类里: 跨站脚本 跨站请求伪造 混合内容脚本 身份验证或授权缺陷 服务器端代码执行漏洞 只要漏洞被验证有效,黑客最高可获得2万美元的谷歌奖励。 艾哈迈德·麦哈塔布,Securi
发布时间:2016-11-08 01:30 | 阅读:83774 | 评论:0 | 标签:牛闻牛评 gmail 认证 账户劫持 漏洞

GMAIL帐号劫持漏洞

介绍 Gmail允许其来自世界各地的用户使用多个电子邮件地址,并将其关联或链接到Gmail。同时Gmail允许您设置转发地址,以便您收到的电子邮件也发送到您已设置转发的电子邮件。这两个模块实际上存在身份验证或验证绕过漏洞。它类似于帐户接管,在这里,我作为一个攻击者可以通过确认电子邮件的所有权劫持电子邮件地址,并能够使用它发送电子邮件。 技术细节 如果点击Gmail中gear按钮,将看到两个模块,其中一个名称为”Account and Import”,”Send Mail As”和转发模块受到影响。这是一个逻辑漏洞,允许我从Gmail中劫持电子邮件地址。与Gmail SMTP关联或连接的任何Gmail地址都容易受到此安全问题的影响。它可能是@gmail.com、@
发布时间:2016-11-07 18:45 | 阅读:100682 | 评论:0 | 标签:Web安全 Gmail GMAIL帐号劫持 账号劫持 漏洞

一条短信干掉谷歌的双因子验证

上周末,推特上流传的一张截屏图片引起了注意。这次的骗局非常具有教育意义,值得学习借鉴。教训就是:社会工程,只要用得有效,任何安全控制都形同虚设。下图是clearbit.com共同创始人阿列克斯·麦考发在推特上的。显示的是有人正在尝试登录Gmail账户的短信。这完全就是个骗局,但可以想一下,这条信息暗示了什么,又在要求什么。该信息并没有让你输口令,也没有要求你的个人信息,更没想控制你的Gmail账户。恰恰相反,它提供一种温暖贴心的安全感,以及通过暂时锁定账户来让这种安全感更加深入的能力。这种攻击相当聪明,无疑是有成功案例的。它的上下文环境是成功的关键。该信息告诉受害者,有人正尝试登录他们的Gmail账户,并提供了有关“攻击者”的基本ID。由此,展开两种场景:懂点儿技术的,会意识到IP地址是可以伪造的,涉及到归属问
发布时间:2016-06-12 18:30 | 阅读:82577 | 评论:0 | 标签:牛闻牛评 gmail 双因子认证 社会工程

戴尔报告揭地下黑客市场:入侵Gmail账户收费130美元

戴尔旗下的网络安全公司SecureWorks发布了年度《地下黑客市场》(Underground Hacker Markets)报告,披露了黑客市场上各种服务和产品的最新价格。 戴尔称,这些信息来自于该公司CISO INTEL团队的两名情报分析师,他们在全球各地散布的诸多地下黑客论坛和市场上跟踪了黑客业务的发展情况。 这份报告主要关注俄罗斯和英语国家的地下黑客市场,覆盖时间从2015年第三季度到2016年第一季度。 这份报告显示,目前黑客对入侵美国各大电子邮件账户的收费标准是129美元,这些电子邮件账户包括Gmail、Hotmail和雅虎等。他们还会入侵企业电子邮件账户,每个电子邮箱收费500美元。黑客入侵俄罗斯主流电子邮件账户的收费价格在65美元到103美元之间。而入侵乌克兰主流电子邮件账户的价格为129美元,
发布时间:2016-04-11 05:30 | 阅读:172973 | 评论:0 | 标签:业界 CISO Gmail 戴尔 黑客

互联网安全日:Google为Gmail推出非TLS加密连接与防钓鱼提醒

为了迎接“互联网安全日”(Safer Internet Day)的到来,Google也宣布了多项可以让通讯更加安全的新功能。首先要介绍的是一个新的通知,当访问不支持TLS加密的站点的时候,你会收到一个弹出式通知、并在右上角看到一个开了锁的图标提示(本周已经推出)。第二件事与减少钓鱼和欺诈邮件有关,如果发件人未经认证,Gmail会在头像上显示一个问号图标。 与去年一样,Google给予了哪些绕过其安全检查工具的人们2GB的免费存储空间,如果你再次或将,那就可以再获得额外的2GB(Google Apps for Work / Education用户除外)。
发布时间:2016-02-11 02:45 | 阅读:106178 | 评论:0 | 标签:业界 Gmail TLS 加密 谷歌

Android Gmail app:允许任何人发送伪造邮件

一位安全调查员发现了Gmail Android app 中的一个有趣的漏洞,这个漏洞能达到发送伪造邮件的目的,同时也让黑客有了可趁之机. 这就是我们常常说的邮件诈骗,伪造邮件的标题使得从别处发出的邮件看上去像是真的。一般情况下,黑客伪造邮件地址需要: 一份可行的简单邮件转换协议服务器用来发邮件 一个邮件软件 然而,一个自主安全研究员,Yan Zhu在官方Gmail Android app发现了一个类似的漏洞,这个漏洞允许她隐藏她的真实邮箱地址并且可以改变她在账户中设置的用户姓名,以至于邮件接收者不知道谁是真正的寄信者。 怎样通过Gmail Android App?发一份伪造的邮件? 为了证明她的发现,Yan Zhu通过将她的用户名改为yan向某人发了一份邮件,security@google.com(带有另
发布时间:2015-11-16 19:00 | 阅读:155298 | 评论:0 | 标签:安全 android Gmail Android

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云