В гугл был сдан баг, который позволяет совершать атаку типа социальной инженерии основанной на многих совпадениях которые помогают сделать атаку достаточно успешной.

В интернетах ходили слухи ещё давно о том,что есть тема с фейковыми гугл формами, но конкретики никогда небыло. Вот конкретика в действии:

goo.gl редирект на любой сайт → Evilsite.com или фейк письмо → Деаунтефикация с Google → Стандартаня форма входа → Смотрите в браузер - всё хорошо → Ввели данные - Вас снова закинуло на форму → Злитесь, но вводите ещё раз на домене Google → Вас закидывает обратно → Вы подарили свои данные.

Баг был сдан по Баунти программе в Google и точный текст баги описан ниже:

Steps to reproduce:

1. X-Frame-Options (allows to iframe next url)

2. https://mail.google.com/mail/u/0/?ui...fa48c10f45e439 ( forces to logout)

3. After we make death we make Redirection to auth into google account which makes redirection to google form which does not ask for permission https://accounts.google.com/signin/...=1209600&continue=https://docs.google.com/for ms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform#?gmail.com&followup=https%3A %2F%2Fdocs.google.com%2Fforms%2Fd%2F1zTt-nSYom-9sIEFeKW1QMHfdMDx6PwYzbKpkmKmmf2k%2Fedit%3Fusp% 3Dsharing#https://gmail.com&ltmpl=forms&flowNa...y=ServiceLogin

4.https://docs.google.com/forms/d/e/1F...0Yr_Q/viewform google form which looks very similar to gmail login page

Scenario attack: -> -> Browser/OS: Chrome/Firefox . Windows, Linux.

Детали выложены на GitHub вместе с видео, можно посмотреть.

https://github.com/vulnz/fail-gmail

Репозиторий не слишком новый, но тему нужно поднять и обсудить.

Также стоит обратить внимание на:



Эта информация показывает,что Google НЕ заинтересован в защите от социальной инженерии своих клиентов, почему? Неизвестно.