Как мошенничество с Google Документами стало новым видом фишинга.

Относится к категориям: Google, Security
Владимир Ш.
Это фишинг-схема, в которой даже многофакторная проверка подлинности и изменение пароля не помогут.

В среду в Гмаил распространилась обширная схема фишинга Google Документов, которая захватывала учётные записи людей и рассылала себя по списку контактов жертвы. Гугл быстро закрыл атаку, которая затронула около 0,1% пользователей Гмаил.

Даже при таком низком числе пострадавших, при более 1 миллиарда постоянных пользователей, эта атака затронула не менее 1 миллиона человек. И типичное обнаружение фишинга, которое предлагает Гмаил, не смогло блокировать её, потому что атаке даже не нужно, чтобы жертвы вводили свои пароли.


Фишинг-атака основывалась на эксплуатации OAuth - редкая схема атаки, которая явила себя миру в среду. OAuth, который обозначает Open Authorization (открытая авторизация), позволяет приложениям и службам "общаться" друг с другом без входа в ваши учётные записи. Рассматривайте это, как будто ваш телефон может считывать события в Календаре Гугл или как ваши друзья на Фейсбуке могут видеть, какую песню вы слушаете на Spotify. В последние три года количество приложений, использующих OAuth, взлетело с 5500 до 276 000, согласно Cisco Cloudlock.

"Теперь, когда эта технология широко известна, она, вероятно, будет представлять собой значительную проблему - существует так много онлайн-сервисов, которые используют OAuth, и им трудно полностью проверить все сторонние приложения", - сказал один из ведущих специалистов в области сетевой безопасности Грег Мартин - генеральный директор кибер-охранной фирмы Jask.

Чем отличается атака на Google Документы от типичных фишинговых атак?

В типичной фишинг-атаке жертва вводит пароль на фальшивом веб-сайте, который пытается убедить вас в своей подлинности, отправляя конфиденциальную информацию вору или регистрируя секретную информацию в базе данных.

Используя эксплойты OAuth, как и в случае мошенничества с Документами Google, учётные записи могут быть захвачены без ввода пользователем каких-либо данных. В схеме Документов Google злоумышленник создал поддельную версию сервиса Документов Google и попросил разрешения на чтение, запись и доступ к электронной почте жертвы.

Предоставляя разрешение на использование OAuth, вы фактически даёте хакеру доступ к вашей учётной записи, без ввода пароля.


Почему я не могу просто изменить свой пароль?

OAuth не работает с паролями, он работает через токены разрешений. Если бы пароль был ключом, блокирующим двери вашей учётной записи, OAuth был бы швейцаром, у которого есть ключи, и он подвергшись обману позволил бы другим войти к вам домой. Вам нужно будет отозвать все разрешения, чтобы выгнать злоумышленников.

Почему многофакторная аутентификация не блокирует эксплойты OAuth?

Многофакторная аутентификация работает, когда вы вводите защитный код при попытке войти в систему через пароль.

Опять же, в этом эксплойте пароли не являются точкой входа. Поэтому, когда хакер использует эксплойты OAuth, ему не нужно вводить пароль - обманутая жертва, дающая разрешение, делает это за него.

Для самого приложения не требуется наличие второго фактора (SMS-ки с одноразовым кодом) после предоставления пользователем разрешений.

Итак, что мне делать, если я попался на что-то вроде фишинга Gmail?

К счастью, исправление очень простое. В случае с Гуглом, вы можете отменить разрешения, перейдя на страницу https://myaccount.google.com/permissions. Если поддельное приложение будет заблокировано, как Google сделал это с фальшивым Google Docs, разрешение также будет автоматически отменено.

Для других сервисов, использующих OAuth, это может быть не так просто. Большинство служб, использующих OAuth, имеют страницу, на которой вы можете управлять своими разрешениями, например страница приложений в настройках Твиттера. На устройствах Андроид 6.0 вы можете отменить разрешения в менеджере приложений в Настройках.

К сожалению, есть сотни тысяч приложений, которые используют OAuth, и не всегда хватает времени, чтобы найти все их страницы разрешений.

Комментариев - 0
Рейтинг - 1047 баллов
 
Похожие статьи на сайте:
 
Комментариев: 0
 
Имя *:

E-mail:

Текст комментария *: