• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:501

●重點摘要：
1. Google 登入網址的 continue 參數值用於決定用戶登入後自動前往的網址。
2. 對於登入後轉址，Google 已設定白名單，僅 Google 域名的網址才可轉址。
3. 然而資安專家表示，只要在continue 參數值改為https://www.google.com/amp/[any_domain_here]
4. 在使用者輸入正確之帳號密碼按下登入後，即會被轉址至參數所指定之網址。
5. 因此當駭客在參數後面指定一個模仿登入畫面的釣魚網站，要求使用者再次輸入帳密，即可能藉此取得登入憑證。
6. 另外 continue 參數亦可插入 Google Doc 檔案連結，便可能利用使用者登入時自動下載特製的惡意檔案。
7. 然而資安專家表示已經將此情況通知 Google，但 Google 選擇不做任何事情。。

●TWCERT/CC建議，用戶在登入後出現要求重新輸入帳密或其他個人資訊時，請務必重複確認網址是否仍來自google.com，並在登入前確認網址尾端是否有不正常連結。

攻擊手法： 利用continue 參數轉傳惡意網站或檔案

參考連結：

http://www.businessinsider.com/google-login-page-phishing-2016-8
http://unwire.pro/2016/09/01/google-parameter-phishing/news/
https://www.aidanwoods.com/blog/faulty-login-pages