Google：Gmail没有漏洞

前段时间有报道称一处gmail漏洞再现，可能助长域名劫持。昨天Google出面辟谣，称其调查显示最近的域名劫持属于网络钓鱼（phishing）欺诈，而非gmail漏洞。钓客（phisher）偷偷地将过滤规则加入到遭到泄漏的gmail账户中去，然后重置密码，然后账户资料或者域名就会被转发到钓客的邮箱里。

“在受害用户的帮助下，我们确认原因是网络钓鱼，恶意分子惯用的伎俩，欺骗用户共享敏感资料。…………这些钓鱼网站和Google没有任何关系，并且我们知道的钓鱼网站已经关闭。”

其实模仿Google的类似现象非常普遍，主要方式为通过僵尸网络（botnet）或者恶意拼写错误（typosquatting），比如：

adwords.google.com.index.main.update .qwertycn.cn
adsense.google.com.server.main.update .dirty-boy.cn
edit.google.com.main.update .the-format.cn
google.com.urchin.js .7traff.cn
google.com.urchin.js .axa1.cn
adwords.google-secutiyserv .com
google.com.br.updatesoftware.index.d81f0f02cd6a877358cde8fbdbad89a5 .qwertycn.cn
google.com.updatesoftware.index.d81f0f02cd6a877358cde8fbdbad89a5 .rootit2.info
adwords.google.com.session-69680268279998252722.92444537268559875865 .com68.ru

两个星期前Google修复了一处影响账户登录的XSS漏洞，当时该漏洞给不法分子提供了可趁之机，成为大范围劫持用户登录资料的“cookie 妖怪”。