Уязвимость фишинговых атак в протоколе OpenID работает следующим образом: злоумышленники подделывают сайт, поддерживающий OpenID-авторизацию, с целью получения от провайдера информации о пользователе. 1

Используя уязвимость «скрытая переадресация», злоумышленники могут создать для пользователя иллюзию, что информация запрашивается настоящим сайтом. 1 Затем авторизация и разрешение на доступ к профилю отправляются на неверный (фишинговый) сайт. 2 В итоге злоумышленник получает ключ доступа к пользовательскому профилю, причём у него будут те же права, которые имеет оригинальное приложение или сервис, сайт которого был подделан. 2

OpenID не содержит механизмов предотвращения фишинговых атак. 1 Ответственность за фишинговые атаки перекладывается на провайдеров OpenID. 1

Для защиты от фишинга пользователи могут использовать дополнительное программное обеспечение, например Microsoft’s Identity Selector. 1 Также существуют решения, не требующие установки дополнительного программного обеспечения, например BeamAuth, использующий для своей работы закладки в браузере. 1