这个问题是由埃里克法拉罗于星期四在其软件开发博客上公开披露出来的。法拉罗说,Google公司的公共服务搜索中可以添加可定制代码,许多非营利组织机构如大学就利用这一点在它们的网站上免费增加了不带广告的Google搜索功能。用户们也可以利用它在Google.com域名上新建一个网页。
黑客们因此可能会借机利用这个功能建一个欺诈性Google页面,欺骗用户们将个人敏感信息提交出去。法拉罗利用这个功能新建了一个虚假的Gmail Plus网页做示范,当毫无防范之心的Gmail用户访问这个网页并试图登陆邮箱时,网站就会发出一条“你已经成功登陆了!”的信息。
搜索巨人Google公司星期五在其博客上已经发表声明并公开承认了这个安全隐患的存在。 公司暂时关闭了公共服务搜索客户的所有登陆通道,但是现有客户网站上的搜索功能不会受到任何影响。 据Google公司称,它已经在服务中采取了一个临时性措施,现在它正在设法永久性地解决这个问题。
公共搜索服务中的这个钓鱼式攻击漏洞的危险性很强,因为它与今年夏天发现的PayPal漏洞一样,使用了真实的Google域名。许多反钓鱼式攻击的保护软件和服务都是根据网站的域名来识别欺诈性网站的。
尽管各主要网络公司都试图通过浏览器警告和插件监控的方式来防范钓鱼式攻击,但是钓鱼式攻击在各种网络犯罪中的使用率仍越来越高。最近有迹象表明钓鱼式攻击者已经开始扩大他们的活动范围了。
