最近，互联网上上演了一出好戏——网络钓鱼蠕虫伪装成“Google文档”通过电子邮件的方式肆意横行。

首先，它会发送一封声称是来自你朋友或者亲戚的电子邮件，内容则是想要分享这个文档给你，而在你点击“在文档中打开”按钮时，它就会要求你登陆Google，然后弹出一个很熟悉的OAuth请求，希望能够获取一些权限。而当你选择了“允许”，那么你就会允许其完全控制你的电子邮件并且能够访问所有联系人。在此之后，蠕虫就会继续通过电子邮件通知你的联系人列表中的每个人，当然除此之外，只有上帝才会知道所有受害者的电子邮箱里还有什么。

事实上，这个蠕虫的有趣之处在于它是怎么样做到让人们彻底相信的—电子邮箱使用了与Google文档共享到电子邮件完全相同的话语以及完全相同的“打开”按钮，点击链接之后也出现了一个由Google服务器提供的正宗的Google登陆界面。接下来就是那个仍然是真实的Google OAuth权限页面，也是来自Google的服务器。这时你会发现其实最为关键的一点就是声称是“Google文档”是一个应用程序而不是Google Docs。下图就展示了名为“Google文档”的第三方应用程序与Google文档徽标相匹配的配置文件。

而能去发现这一情况的唯一方法就是点击“Google文档”名称旁边的向下箭头，这里显示的是开发者的信息而不是谷歌的，比如下图就是显示了一个随机的人与其电子邮件“[email protected]”。真正的Google应用程序会一直使用OAuth，但如果你打开开发者信息，你就会看到一些“@ google.com”电子邮件。而且，网络钓鱼者不是将你重定向到Google页面，而是尝试加载几个不同的“Google sounding”网址，在本例中是，“googledoc.g-docs.pro”。

通过这一例子我们发现，当蠕虫与Google的基础架构紧密相连时，那么谷歌的缺点就会愈发明显，主要原因就在于谷歌是有一些控制权的。他们会关闭OAuth请求并将用户重定向到错误页面，并且还会自动撤销所有人的帐户权限。有一段时间，蠕虫病毒完全可以访问受害者的电子邮件，因此，除了发送所有联系人之外，它还可能将你的所有电子邮件（和所有相关聊天）都复制到第三方服务器。而在将来，这种方法可以用于更多的网络钓鱼，因为攻击的一方知道你的电子邮件和产品组合，并且它也可以用于公开转发VIP电子邮件，就像DNC所发生的一样。

目前，Google 已经就此次网路钓鱼的情况发布了一个声明：

我们已经采取行动来保护用户免受模仿Google文档的电子邮件侵害，并且也已经禁用了违规帐户。同时我们也已经通过安全浏览删除了假页面并推送了更新，以防止这种欺骗行为再次发生，最后，我们非常鼓励用户在Gmail中报告网络钓鱼电子邮件。

在将来，我认为我们需要重新设计Google OAuth页面的工作原理。问题在于，你在Google OAuth界面中授予权限的真实实体位于下拉窗口之下。现在的界面仅仅依赖于应用程序开发人员所设计的名称和徽标，这显然是不够的。