Google ya arreglo el fallo de recuperación de contraseñas, con el que te podían robar la cuenta, ya que tres tipos de agujeros de seguridad han sido explotados para este ataque, falsificación de petición en sitios cruzados, secuencia de comandos en sitios cruzados (XSS) y un fallo flow bypass.
Un experto ha creado un escenario de ataque de spear-phishing. El atacante envía a su víctima un falso correo electrónico titulado Confirma la propiedad de la cuenta desde una cuenta de Gmail aparentemente oficial.
Cuando le llega el mail, este pide al destinatario que haga clic en un enlace y cambie su contraseña para confirmar la titularidad de la cuenta. El enlace incluido en el correo electrónico apunta aparentemente a una URL de google.com, pero en realidad lleva a la víctima al sitio web del atacante.
Y parece que el sitio web del ciberdelincuente está configurado para realizar un ataque CSRF con una dirección de correo electrónico personalizada.
Se activa el exploit XSS permitiendo al atacante capturar la información introducida por la víctima una vez que presione el botón Restablecer contraseña. Curiosamente, el filtro XSS de Google Chrome no bloquea el ataque.