W sieci pojawił się bardzo trudny do wykrycia atak na konto Google. Dzięki niemu cyberprzestępcy mogą łatwo uzyskać dostęp do poczty Gmail bez wiedzy użytkownika.
Jak donosi Zaufana Trzecia Strona, ten konkretny atak pojawił się w sieci 3 maja 2017 roku. W animacji nagranej przez Zacha Latta można zobaczyć, jak dokładnie przebiega. Zachęcamy do jego obejrzenia. W poniższym wyjaśnieniu działania ataku zostaną wykorzystane zrzuty ekranu pochodzące właśnie z tego materiału.
@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta (@zachlatta) May 3, 2017
Jak przebiega atak?
Użytkownik otrzymuje wiadomość z komunikatem informującym o udostępnieniu mu dokumentu w Google Docs.
Po kliknięciu „Open in Docs” użytkownik zostanie spytany, którego konta Google chce użyć.
Przy okazji może też sprawdzić, co znajduje się pod linkiem „Google Docs”. Jest tam adres mailowy należący do Rosjanina oraz dosyć podejrzana domena internetowa.
Użytkownik jednak prawdopodobnie tego nie zrobi i od razu wybierze konto Google. Wówczas dowie się, że aplikacja Google Docs otrzyma dostęp do poczty i kontaktów. Prawdopodobnie nikomu nie zapali się w tym momencie lampka, ponieważ obcuje z aplikacją Google.
Po zatwierdzeniu uprawnień dostęp do konta zostanie przekazany cyberprzestępcom.
Na czym polega atak na konto Google?
Jest to bardzo sprytny atak phishingowy opisany kilka dni temu na blogu firmy Trend Micro. Wykorzystujący go cyberprzestępcy tworzą aplikację o nazwie Google Docs i tym samym podszywają się pod popularną usługę. Następnie zgłaszają ją do Google, by mogła prosić użytkowników o tokeny OAuth w celu uwierzytelniania. Potem rozsyłają wiadomości, które nakłaniają użytkowników do przyznania uprawnień aplikacji.
[caption id="attachment_562089" align="aligncenter" width="1000"]
Źródło: Trend Micro[/caption]
Pamiętajcie, że aplikacja może mieć dowolną nazwę. Dlatego sprawdzajcie dokładnie wszystkie wiadomości proszące o dodatkowe uprawnienia. Dziś są to prośby o użycie Google Docs, jutro może być to komunikat namawiający do skorzystania nieistniejącego antywirusa Google Defender. Aplikacja taka może prosić też o inne uprawnienia, np. dostęp do plików na Google Drive.
Czemu atak jest skuteczny?
Ofiara ataku nic nie podejrzewa, ponieważ nawet na chwilę nie wychodzi ze strony Google i przyznaje uprawnienia aplikacji mającej w nazwie „Google”. Tym samym jej czujność zostaje uśpiona.
Co więcej, wiadomość tego typu może dotrzeć od naszego znajomego, który został wcześniej zaatakowany w podobny sposób. Cyberprzestępcy po zdobyciu dostępu do konta Google rozsyłają bowiem maile do wszystkich kontaktów ofiary i w ten sposób uwiarygadniają szkodliwe wiadomości na kolejnym poziomie.
Jestem ofiarą ataku, co mam zrobić?
Należy pamiętać, że w wyniku ataku nie zostaje skradzione hasło do konta Google. Dlatego jego zmiana nic nie da. Nie pomoże tu również uwierzytelnianie dwuetapowe, ponieważ to właściciel konta samodzielnie przekazuje dostęp do niego aplikacji.
Dlatego ofiary ataku powinny przejść do listy aplikacji mających dostęp do konta Google i usunąć z niej wszystkie podejrzane pozycje lub po prostu usunąć wszystkie pozycje, a następnie przyznać uprawnienia zaufanym programom.
Uważajcie na ten atak – cyberprzestępcy mogą przejąć wasze konto Google