周报

  1. 法国国家信息自由委员会(CNIL)本月 1 日对 Google 处予 3.25 亿欧元的罚款, 原因是 Google 未经用户同意就在 Gmail 之中显示广告, 并且还在创建账户的时候未经同意放置 Cookie. 该投诉最初是 2022 年 8 月由 noyb 组织提出, 最终 CNIL 调查结果显示 Gmail 会在 "促销" 和 "社交" 标签中以电子邮件消息的样式显示广告; 同时 Google 在用户创建账户的时候鼓励用户选择个性化广告选项而不是非个性化的通用广告 Cookie, 并且还隐瞒了保存广告投放目的的 Cookie 是访问 Google 服务的条件这一事实, 因此 CNIL 裁决在这种情况下获得的用户同意是无效的. [1]
  2. 继邮件人周报第 24 期提到台湾交通部因为诈骗问题停用电子邮件发送罚单催缴通知之后, 本月台湾交通部继续在社交媒体上加大力度宣传电子邮件反诈, 宣传口号也从之前的教大家辨认收件人地址和姓名直接简化为了 "罚单催缴 Email = 诈骗", 交通部长陈世凯也亲自出镜拍摄宣传短视频发布在了他自己的 Threads 账号并在评论区亲自帮网友鉴定诈骗邮件. [2]
  3. Google 本月 5 日为 Chrome 浏览器创建了一项电子邮件地址验证相关的应用层协议概念, 其名称就叫做 EVP (Email Verification Protocol). 该协议使浏览器可以通过电子邮件域名 DNS 和 well-known 中声明的身份认证端点发送 POST 请求向供应商请求身份令牌, 令牌签发后通过浏览器的验证后传递给 Web 应用, Web 应用再次验证令牌有效性就可以确认用户提供的电子邮件地址有效性. Google 在协议文档也讨论了现有的一次性代码式和 SSO 式的邮件地址验证方案, 强调了 EVP 无需发送电子邮件也无需用户离开当前网页去验证身份. EVP 通过浏览器这一客户端直接在电子邮件身份供应商和 Web 应用之间协调身份验证, 可以做到用户对身份供应商匿名, 即邮件身份供应商无法获知用户是在什么 Web 应用发起的验证请求, 从增强用户隐私. 协议尚处在概念阶段, 可通过 GitHub 了解当前协议设计并参与讨论. [3]
  4. 安全博客 NullSecurityX 披露了一个由于 Unicode 和 Punycode 之间的相互转换导致的电子邮件地址匹配相关的 0-Click 漏洞. 攻击者可以通过人类视觉难以区分的同形或近似 Unicode 字符去注册与攻击目标相似的域名, 当攻击者利用相仿的特制 Unicode 域名向服务发起密码重置请求从而开展攻击, 由于服务供应商的邮件地址验证逻辑中可能有一环无法正确区分恶意的相似地址, 从而批准了攻击者的密码重置请求, 当发送密码重置的关键邮件的时候会将邮件发送给攻击者直接让攻击者的地址参与验证, 最终攻击者在受害者无感知无操作的情况下做到账户接管. [4]
  5. 安全供应商 Wiz Research 发布博客披露了他们团队在今年 5 月发现的 Amazon SES 滥用活动. 攻击者通过泄露的 AWS 密钥访问受害者的 AWS 服务环境, 通过 API 操作发送 SES 沙盒限制解除请求工单获取生产级的 SES 权限, 然后批量添加精心收集的发送域名身份再通过受害者的 SES 服务大规模发送钓鱼邮件. [5]
  6. 安全供应商 Malwarebytes 博客分享了新型 PayPal 钓鱼攻击. 攻击者发送的伪装为 PayPal 官方财务通知邮件不再将受害者引导到精心打造的第三方钓鱼站点, 而是直接引导受害者引导到了 PayPal 官方的将其他用户添加为子账户的页面, 因为子账户可以直接通过主账户的付款方式付款. [6]
  7. 安全供应商 Dream Security 发布文件分析伊朗相关恶意组织的电子邮件鱼叉式攻击活动. 伊朗背景的恶意组织利用被泄露的阿曼外交部邮箱向世界多个地区的大使馆, 领事馆和国际组织发送攻击邮件, 其中携带了包含恶意 VBA 宏脚本的 Word 文档, 指示攻击者启用 Word 的宏功能以查看全文. [7]
  8. 澳大利亚广播公司(ABC)报道, 昆士兰州最高法院裁定库克郡议会(Cook Shire Council)因其对一封伪造电子邮件的调查存在疏忽, 被勒令向因其受到伤害的前议会工作人员 Ellana Habermann 女士支付超过 230 万澳元的赔偿金. 2017 年, 这封邮件被伪造为Habermann 自己发送给时任议员 Rob Pyne 的, 伪造信件中的她将原住民称为 "肮脏的混蛋(dirty bastards)" , 并且还参与了阻止原住民从游轮公司手中夺回海滩租约的行动. 最终这封邮件被议员在议会中公开, 导致了 Habermann 的职业生涯终结并对她的精神造成了严重伤害. [8]
  9. 上期邮件人周报(Vol.26)中提到 Google 的 Salesforce 实例泄露导致的针对性网络攻击, 虽然本站在调查该事件的时候已经理清的事件经过, 明确了受影响的只有 Salesforce 泄露数据中的那些中小企业, 但本站也还是受到主流媒体的影响错误地将 Gmail 全球用户数量 "25 亿" 当成了这些实际受影响的企业用户数量, 现在已经改正. Google 在主流媒体的夸大宣传之后也发布了博客澄清这次所谓全球 Gmail 用户面临的重大安全问题完全是错误的(并未提及具体的事件细节). [9]

注释

  1. noyb WIN: French DPA fines Google €325 million for “Spam Emails” in Gmail ↩︎

  2. 注意🚨 監理站不會寄送 #罰單催繳 email。 只要收到這類信件,就是詐騙! 請分享給更多人知道🙏 ↩︎

  3. Email Verification Protocol - Chrome Platform Status ↩︎

  4. Critical 0-Click Vulnerability Enables Attackers to Takeover Email Access Using Punycode ↩︎

  5. Wiz Uncovers SES Abuse Campaign Using Stolen AWS Access Keys | Wiz Blog ↩︎

  6. PayPal users targeted in account profile scam | Malwarebytes ↩︎

  7. Iranian Hackers Exploit 100+ Embassy Email Accounts in Global Phishing Targeting Diplomats ↩︎

  8. Cook Shire Council ordered to pay $2.35m in damages over fabricated racist email - ABC News ↩︎

  9. No we didn't warn all Gmail users about imminent digital doom, says Google | Malwarebytes ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~