Google Docs钓鱼攻击是如何运作的？

滥用OAuth令牌的Google Docs钓鱼攻击让攻击者能够完全访问用户的Gmail帐户和联系人。谷歌在一小时内制止了该攻击，禁用攻击者的电子邮件帐户，并相应采取其他保护措施。那么，攻击者是如何利用OAuth访问受害者的Gmail帐户的？

Nick Lewis：Google一向以其也基础架构的安全性为傲，称它在保护基础架构方面表现非常好。这个安全基础设施意味着Google及其客户只需要解决应用程序的安全问题即可，这使得开发人员的工作变得更为容易。这给开发者、甚至用户带来应用层的安全。

在最近发生的Google Docs钓鱼攻击中，Google的安全基础设施被绕过，导致大量用户帐户受攻击。这一攻击是通过一个名为Google Docs的应用程序进行的，企图欺骗用户信任其实Google合法提供的，可能有多达100万Gmail用户受到此次攻击的影响。

该攻击给消费帐户造成极大的影响，且对于使用Google Docs的企业来说，影响更不可小觑，如果一些企业将敏感的企业数据存储在Google Docs中则更为如此。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国

Nick Lewis是 Internet2项目经理，曾任Saint Louis大学信息安全官。

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革，负责安全网站与网络网站的内容规划、组稿、原创和编辑。