За последние несколько лет Google Docs поглотил долю Microsoft Office на рынке производительности. Возможно, лучшие инструменты для совместной работы и простой облачный интерфейс сделали его популярным текстовым процессором.
К сожалению, нам постоянно показывают, что в Интернете нет ничего безопасного. Показательный пример: попытка фишинга весной 2017 года, подделавшая Документы Google и использовавшая систему Google OAuth. Как злоумышленники взломали аккаунты Google? Какие данные были потеряны? Как бы вы узнали? Давайте посмотрим, что мы знаем и как вы можете защитить себя.
Атака
За последние несколько дней многие люди начали получать электронные письма, в которых им предлагалось просмотреть Документ Google. Письмо было очень похоже визуально на реальный запрос Документов Google, а также законно звучащую строку темы «[Ваш контакт] поделился с вами документом в Документах Google”- однако, у этого было сказать: получатель был hhhhhhhhhhhhhhhh@mailnator.com с вашим адресом, указанным только в поле BCC.
Основной фишинг в Документах Google продолжается прямо сейчас. Избегайте электронных писем в Документах Google pic.twitter.com/JNbi6sz215
— Том Уоррен (@tomwarren) 3 мая 2017 г.
Не все почтовые клиенты показывают полный адрес электронной почты по умолчанию, и поэтому у многих людей не было причин для подозрений и они нажимали на ссылку запроса. По этой ссылке вы перешли на допустимую целевую страницу Google для доступа к OAuth. Если вы вошли в несколько учетных записей, вам будет задан вопрос о том, какую учетную запись вы хотите использовать. Выберите один из них, и вам будет представлена страница авторизации с «Документами Google», запрашивающая разрешение на доступ к вашей учетной записи.
@zeynep Только что получил это. Супер сложный. pic.twitter.com/l6c1ljSFIX
— Зак Латта (@zachlatta) 3 мая 2017 г.
Хотя приложение Google Docs использовало логотип Google Диска, был еще один признак того, что это подделка. При нажатии на название приложения отображаются подробности разработчика, и вместо того, чтобы показывать Google, оно было в списке eugene.pupov@gmail.com с веб-сайта https://googledocs.g-cloud.pro.
Несмотря на возможность подделать имя Google Docs, реальные документы не требуют доступа к вашей учетной записи. Любые такие попытки авторизации являются поддельными и могут быть вредоносными. После получения доступа к вашей учетной записи и контактам поддельное приложение Google Docs отправит фишинговую электронную почту всем вашим контактам.
Поскольку злоумышленник также запросил доступ к «читать, отправлять и управлять» вашей электронной почтой, он также мог собирать данные из ваших электронных писем. Согласно заявлению от Google, они считают, что были доступны только контактные данные.
Радиоактивные осадки
Хотя в социальных сетях было много людей, сообщавших о попытке фишинга, многие сначала были предупреждены об атаке через ветку Reddit. Неясно, знал ли Google об этой угрозе раньше, но кажется, что первый раз, когда она была адресована, когда Гуглер появился в потоке и подтолкнул его к эскалации. Разработчик Google Docs был заблокирован OAuth в течение получаса после эскалации, которая предотвратила фишинговую атаку.
Комментарий из обсуждения the_mighty_skeetadon комментарий от обсуждения «Новая фишинговая афера в Документах Google, почти не обнаруживаемая».
Согласно заявлению Google, эта атака затронула только 0,1 процента пользователей Gmail. Хотя это звучит мало, в Gmail, по оценкам, более миллиарда пользователей, поэтому эта фишинговая атака могла затронуть более миллиона пользователей. Если приложению был предоставлен доступ к вашей учетной записи Google, у него все еще есть такой доступ, поэтому вам следует перейти к настройкам своей учетной записи Google и удалить любое приложение с именем Документы Google.
@ SteveD3 @ J1NG_QUAN мы практически все домены убили примерно за 10 минут после первого сообщения в твиттере.
— Джастин (@xxdesmus) 3 мая 2017 г.
Сайты, связанные с поддельным приложением Google Docs, в основном размещались на CloudFlare. К счастью, хостинговая компания также быстро отреагировала на эту информацию, по сообщениям, заблокировав все связанные домены в течение десяти минут. Однако любые данные, собранные приложением, могут уже находиться в руках злоумышленника.
Решение
Чтобы удалить поддельное приложение Google Docs, перейдите в свою учетную запись Google прямо к настройкам разрешений и нажмите Удалить. Пока вы там, возможно, стоит проверить все другие приложения, которые имеют доступ к вашей учетной записи, и удалить все неиспользуемые или подозрительные.
Google также рекомендовал выполнить проверку безопасности, если вы считаете, что атака, возможно, затронула вас. Даже если вы этого не делали, выполнение регулярных проверок все равно является хорошей идеей.
Мы решили проблему с фишинговым электронным письмом, в котором говорится, что это Документы Google. Если вы думаете, что вы пострадали, посетите https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Документы Google (@googledocs) 3 мая 2017 г.
Несмотря на то, что могут быть решения, которые технические компании могут реализовать, они часто применяют подход «удар-моль» и нацеливают каждую атаку по мере ее появления. Всегда будут люди, пытающиеся убедить вас разглашать личную информацию — в физическом мире их называют мошенниками или мошенниками.
Лучшая защита для вас — это знать признаки фишинг-попытки. Если электронное письмо получателя или отправителя является необычным, звучащим нежелательно, то следует действовать с осторожностью. Если вы получили фишинговое письмо, сообщите об этом в Google.
Страница OAuth была проблематичной, так как это был законный сайт, запрашивающий у вас разрешение на доступ вредоносного приложения к вашей учетной записи. Могут быть предприняты шаги, которые Google и другие могут предпринять, чтобы запретить вредоносным приложениям использовать поддельные имена, но в то же время вы можете проверить информацию о разработчике на любой из страниц OAuth Google, нажав на название приложения, которое должно раскрыть больше его мотивов.
Защити себя
В то время, которое кажется невероятно счастливым, приложение Gmail для Android было обновлено в тот же день, что и атака Документов Google. Обновление предупреждает пользователей, когда они нажимают на ссылку на подозрительное электронное письмо. Это все равно не уменьшило бы атаку Документов, поскольку направило бы вас прямо на страницу авторизации Google.
В отчете Trend Micro освещалась такая атака всего за несколько недель до итерации Google Документов. В их случае это было приложение под названием Google Defender, но метод атаки был почти идентичен и связан с группой под названием Pawn Storm. Хотя Google предпринял шаги, чтобы предотвратить атаку Google Docs, подобные атаки могут произойти в будущем.
Читая о том, как найти фишинговую электронную почту
отличное место для начала, хотя. Несмотря на то, что это не предотвратило атаку Google Docs, Gmail действительно может помочь вам идентифицировать фишинговые письма
тоже. Защита от последней атаки может показаться бесконечной работой, но она определенно стоит усилий, чтобы бороться с усталостью безопасности
,
Вы пострадали от фишинг-атаки в Документах Google? Или вы получили письмо от кого-то, кто был? Остановит ли это в будущем использование Документов Google? Дайте нам знать ваши мысли в комментариях ниже.
Изображение предоставлено: wk1003mike через Shutterstock.com
