谷歌文档被拉到周二偷偷摸摸电子邮件钓鱼攻击的目的是诱骗用户放弃访问自己的Gmail帐户。
该钓鱼邮件,这对于谷歌前约三小时内循环拦住了他们,邀请收件人打开似乎是一个谷歌文档。该预告片是一个蓝色的盒子中说,“在文件中开启。”
在现实中,链接导致了虚拟应用程序,请求允许用户访问自己的Gmail帐户。
书签交易
在星期二散发的钓鱼电子邮件的一个例子。
用户可能很容易被忽悠,由于虚拟应用程序实际上是一个名为“谷歌文档。”它还要求通过谷歌的实际登录服务访问Gmail。
黑客们能够通过滥用OAuth协议,在谷歌,Twitter,Facebook和其他互联网服务帐户的方式与第三方应用程序连接到决绝的攻击。
OAuth协议没有任何密码信息传输,而是使用特殊的访问令牌,可以打开帐户的访问。
然而,OAuth的可以在不法分子手中的危险。周二身后的攻击,黑客似乎已经建立了一个实际的第三方应用程序,谷歌利用处理,以获得帐户的访问。
书签交易
虚拟应用程序将试图索要帐户权限。
“这次袭击是很聪明的,它利用了你的谷歌帐户链接到第三方应用程序的能力,”在安全公司趋势科技的云计算研究的副总裁Mark Nunnikhoven说。
访问帐户利用OAuth是特别狡猾的,因为它可以绕过需要窃取别人的登录凭据,甚至谷歌的两步骤验证。
上个月,趋势科技说,被称为花式熊俄罗斯黑客组织是使用类似电子邮件的攻击方法是滥用了OAuth协议,以网络钓鱼受害者。
然而,安全专家说,周二的钓鱼攻击可能不是来自花式熊,一个朦胧的小组,许多专家怀疑为俄罗斯政府工作。
“我不相信他们是这背后......因为这是太普遍,”海梅·布拉斯科在安全提供商AlienVault首席科学家,在一封电子邮件中说。
周二,许多用户在Twitter上,包括记者,发布该钓鱼邮件的屏幕截图,促使市场猜测黑客收割受害者的联系人列表中的目标更多的用户。
这次袭击还通过电子邮件地址以“@ hhhhhhhhhhhhhhhh发送mailinator。
幸运的是,谷歌迅速采取行动,阻止网络钓鱼攻击,一个后用户在Reddit上贴一下他们。
“我们已经删除了假冒的网页,推通过更新安全浏览和我们的滥用小组正在努力防止此类事件再次发生欺骗的,”谷歌在一份声明中说。
安全专家和谷歌建议受影响的用户检查哪些第三方应用有权访问他们的帐户,并撤销任何可疑的访问。用户可以通过访问该这样做地址,或执行谷歌安全检查行动。
这也是很好的做法是围绕可疑的电子邮件小心。许多黑客攻击,包括恶意软件感染,来通过链接或附件通过电子邮件发送。
安全公司警告说,其他黑客可能会进行类似的网络钓鱼攻击滥用OAuth的,不只是通过谷歌,但与Facebook和LinkedIn。
“像所有其他的创意,新的方法,它可能会被大量复制几乎立即”,思科的塔洛斯安全组说过在一篇博客文章。塔洛斯已经确定了使用OAuth以及连接到云超过275,000的应用。
但是,即使周二的攻击可能是小说,危险通过OAuth是什么新鲜事。安全专家已经在过去警告说,用户可以通过OAuth的操纵被钓授予权限错误的一方。
为了应对这种攻击,谷歌上个月表示,它审查任何OAuth的滥用和记下几千违反其用户数据政策的应用程序,包括那些冒充公司的产品。
周二的钓鱼计划很可能会推动谷歌通过关于使用OAuth的应用程序更严格的立场,研究Errata Security公司的首席执行官罗伯特·格雷厄姆说。
然而,这家网络巨头在确保安全和促进一个蓬勃发展的应用生态圈之间的平衡。
“越是审核你做什么,你越是停止创新,”格雷厄姆说。“这是一个权衡。”