被指责以美国和欧洲选举为目标的俄罗斯黑客组织一直在侵入电子邮件账户,不仅通过欺骗受害者交出密码,还通过窃取访问令牌。
据安全公司趋势科技(Trend Micro)称,这种狡猾的黑客尤其令人担忧,因为它可以绕过谷歌的两步验证。
该组织被称为花哨的熊趋势科技在一份声明中称,“典当风暴”(Pawn Storm)一直在使用其青睐的发送钓鱼邮件的策略实施攻击报告星期二。
攻击通过发送一封假电子邮件,假装来自谷歌,标题为“您的帐户处于危险中”。
趋势科技
这是Fancy Bear使用过的钓鱼邮件的一个例子。
该邮件声称谷歌检测到几次意外登录尝试进入他们的帐户。然后建议用户安装一个名为“谷歌Defender”的安全应用程序。
然而,该应用程序实际上是一个诡计。趋势科技表示,实际上,黑客组织是在试图欺骗用户,让他们放弃谷歌账户的特殊访问令牌。
落入该计划的受害者将被重定向到一个真正的谷歌页面,该页面可以授权黑客组织的应用程序查看和管理他们的电子邮件。点击“允许”的用户将会交出一个OAuth令牌。
尽管OAuth协议不传输任何密码信息,但它的设计目的是通过使用特殊令牌授予第三方应用程序访问internet帐户的权限。
OAuth协议可能是为了方便而设计的,但是安全专家已经这么做了警告它可以用于恶意效果。趋势科技表示,在Fancy Bear事件中,黑客组织利用该协议构建了假应用程序,可以欺骗受害者交出账户权限。
该安全公司表示:“在滥用OAuth审查程序获得批准后,(该集团的)流氓应用程序的运作方式与服务提供商接受的其他应用程序一样。”
即使是谷歌的两步认证方式据趋势科技(Trend Micro)称,该软件旨在防止未经授权的账户访问,但无法阻止黑客攻击。
谷歌的两步验证不仅需要密码,还需要在登录时发送到用户的智能手机上的特殊代码。安全专家表示,这是保护账户的有效方法。
然而,Fancy Bear的钓鱼计划成功地绕过了这一安全措施,通过欺骗用户通过假冒的谷歌安全应用程序授予访问权限。
趋势科技在其报告中称:“目标可能熟悉一般的钓鱼邮件,但不太熟悉OAuth滥用伎俩。”“即使是受过良好教育的目标也很有可能被愚弄。”
不过,谷歌表示,它采取了许多措施来保护用户免受此类钓鱼攻击。
该公司在一份声明中表示:“此外,谷歌检测和审查可能滥用OAuth的情况,并关闭数千个违反我们用户数据政策的应用程序,比如模仿谷歌应用程序。”
“请注意,真正的谷歌应用程序应该直接从谷歌网站访问,或者从谷歌游戏或苹果应用程序商店安装,”它补充道。
据趋势科技报道,受害者在2015年和2016年都遭到了这种钓鱼攻击。除了谷歌Defender, Fancy Bear还使用了谷歌电子邮件保护和谷歌扫描仪等其他应用程序。他们还用送货服务和McAfee电子邮件保护等应用程序来攻击雅虎用户。
趋势科技
黑客试图通过假冒的谷歌第三方应用程序来诱骗用户进入他们的电子邮件。
趋势科技表示:“互联网用户被敦促永远不要接受来自未知方或他们没有要求的服务的OAuth令牌请求。”
虽然重置密码有时会撤销OAuth令牌,但最好还是检查一下哪些第三方应用程序与你的电子邮件帐户连接。这可以通过查看电子邮件帐户的安全设置,并在必要时撤销访问权限来实现。
花式熊是最臭名昭著的怀疑的角色去年对民主党全国委员会进行黑客攻击然而,据趋势科技报道,该组织也瞄准了政府部门、媒体机构、大学和智库等方方面面。