Социальная инженерия и поддержка Google в действии: В гугл был сдан баг, который позволяет совершать атаку типа социальной инженерии основанной на многих совпадениях которые помогают сделать атаку достаточно успешной. В интернетах ходили слухи ещё давно о том,что есть тема с фейковыми гугл формами, но конкретики никогда небыло. Вот конкретика в действии: goo.gl редирект на любой сайт → Evilsite.com или фейк письмо → Деаунтефикация с Google → Стандартаня форма входа → Смотрите в браузер - всё хорошо → Ввели данные - Вас снова закинуло на форму → Злитесь, но вводите ещё раз на домене Google → Вас закидывает обратно → Вы подарили свои данные. Баг был сдан по Баунти программе в Google и точный текст баги описан ниже: Steps to reproduce: 1. X-Frame-Options (allows to iframe next url) 2. https://mail.google.com/mail/u/0/?ui=&ik=64411c67&jsver=UpvwBf_7018.ru.&view=om&th=15fa48c10f45e439 ( forces to logout) 3. After we make death we make Redirection to auth into google account which makes redirection to google form which does not ask for permission https://accounts.google.com/signin/...=1209600&continue=https://docs.google.com/for ms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform#?gmail.com&followup=https%3A %2F%2Fdocs.google.com%2Fforms%2Fd%2F1zTt-nSYom-9sIEFeKW1QMHfdMDx6PwYzbKpkmKmmf2k%2Fedit%3Fusp% 3Dsharing#https://gmail.com<mpl=forms&flowName=GlifWebSignIn&flowEntry=ServiceLogin 4.https://docs.google.com/forms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform google form which looks very similar to gmail login page Scenario attack: -> -> Browser/OS: Chrome/Firefox . Windows, Linux. Детали выложены на GitHub вместе с видео, можно посмотреть. https://github.com/vulnz/fail-gmail Репозиторий не слишком новый, но тему нужно поднять и обсудить. Также стоит обратить внимание на: Эта информация показывает,что Google НЕ заинтересован в защите от социальной инженерии своих клиентов, почему? Неизвестно.
