Google spoofed via DKIM replay attack: A technical breakdown
10 months ago
- #DKIM-replay-attack
- #phishing
- #cybersecurity
- 一位朋友收到了一封看似来自谷歌的钓鱼邮件,内容涉及传票,极具迷惑性。
- 该邮件没有拼写错误、可疑链接,发件域名也真实可信,看起来非常正规。
- 调查发现这是一次DKIM重放攻击——攻击者重复使用了谷歌发送过的合法邮件。
- 黑客利用Google Sites仿冒官方客服页面,借助用户对谷歌域名的天然信任行骗。
- 这封钓鱼邮件通过了SPF、DKIM和DMARC三项认证,因此能通过常规安全检测。
- 攻击者通过篡改谷歌OAuth应用名称,将钓鱼内容植入合法谷歌邮件框架内。
- 谷歌已通过限制应用名称编辑功能修复该漏洞,杜绝此类攻击。
- 建议用户切勿点击可疑链接,发现此类邮件应立即向安全团队举报。
- DKIM重放攻击因复用合法邮件签名,常规手段难以识别。
- 防范措施包括定期轮换DKIM密钥,并加强用户反钓鱼意识培训。