谷歌已经停止了周三聪明的电子邮件钓鱼计划,但攻击很可能会卷土重来。
一位安全研究人员已经成功地复制了它,即使谷歌正试图保护用户免受此类攻击。
对比安全公司的安全研究主任马特·奥斯丁说:“这看起来和最初的恶作剧一模一样。”
的网络钓鱼的计划这款应用可能已经在100万Gmail用户中传播,它尤其有效,因为它用一个看起来像谷歌文档的虚拟应用欺骗了用户。
收到邮件的收件人被邀请点击一个蓝色方框,上面写着“在文档中打开”。那些使用谷歌的人被带到一个实际的谷歌账户页面,要求他们将Gmail访问权限切换到虚拟应用程序。
同时欺骗用户欺骗电子邮件这并不是什么新鲜事,周三的攻击涉及一个真正的第三方应用程序,使用的是真正的谷歌进程。该公司的开发平台可以让任何人创建基于web的应用程序。
在这种情况下,罪魁祸首选择将应用程序命名为“谷歌Docs”,以欺骗用户。
这家搜索公司已经删除了这款应用程序,从而停止了攻击。它还禁止其他开发者在命名第三方应用程序时使用“谷歌”。
然而,Austin发现他仍然可以复制周三的钓鱼计划。他利用这家搜索公司的开发者平台创建了自己的第三方应用程序,并将其命名为“谷歌Docs”。
迈克尔菅直人
安全研究员Matt Austin使用西里尔字母复制了周三的网络钓鱼攻击。
唯一的区别是,奥斯汀在他的应用程序的名字中使用了一个西里尔字母“o”,在俄罗斯使用。
“西里尔字母o看起来和另一个字母o一模一样,”奥斯丁说。然后,他复制了周三攻击的其余部分,创建了一个使用相同设计界面的虚假电子邮件。
Austin已经向谷歌提交了安全问题,现在它的开发平台不再接受这个名称下的应用程序。然而,他和其他安全专家预测,坏人也在复制周三的袭击。
“毫无疑问,这种情况会再次发生,”安全供应商思科云锁网络实验室(Cisco Cloudlock Cyberlabs)的主管Ayse Kaya说。“这种情况可能会发生得更频繁。”
更传统的钓鱼邮件方案可以通过欺骗用户放弃他们的登录凭证。然而,周三的攻击采取了不同的方式,并滥用了所谓的OAuth协议,这是一种方便互联网账户与第三方应用程序链接的方式。
通过OAuth,用户不需要提交任何密码信息。相反,他们授予许可,让第三方应用程序可以连接到他们的互联网账户,比如谷歌、Facebook或Twitter。
但像任何技术一样,OAuth也可以被利用。早在2011年,甚至有一个开发者警告该协议可能被用于仿冒谷歌服务的应用程序的钓鱼攻击。
然而,OAuth已经成为一个流行的标准。CloudLock发现,有超过276,000个应用程序通过谷歌、Facebook和Microsoft Office 365等服务使用了该协议。
帮助企业实施OAuth的it顾问艾伦·帕雷奇(Aaron Parecki)说,周三的网络钓鱼计划的原因是,谷歌自己的服务没有充分指出它来自一个可疑的开发者。
例如,这个虚拟的谷歌Docs应用程序是在eugene.pupov@gmail.com上注册的,这是一个危险信号,表明这个产品不是真的。
然而,由于谷歌自己的账户权限页面从来没有清楚地列出开发者的信息,所以这个虚拟应用仍然成功地欺骗了用户,Parecki说,除非用户点击这个页面来查找。
Cloudlock
假冒的谷歌文档应用程序的开发者只有当你把鼠标放在产品信息上时才会出现。
“我很惊讶谷歌在这些应用程序中没有显示太多识别信息,”他说。“这是一个很好的例子,说明可能会出现什么问题。”
Parecki说,与其隐藏这些细节,不如向用户展示所有这些信息。
Austin表示同意,并表示申请Gmail许可的应用程序应该包含对用户提交内容的更明显警告。
“我还没有加入OAuth仇恨浪潮。我确实认为它很有价值。”奥斯丁说。“但这样做也存在一些风险。”
幸运的是,谷歌能够迅速挫败周三的攻击,并引入“反滥用系统”来防止此类事件再次发生。可能受到影响的用户可以执行a操作谷歌安全检查审查哪些应用程序与他们的账户相连。
该公司的Gmail Android应用程序也是如此介绍一个新的安全功能,警告用户可能的钓鱼企图。
安装应用程序并假定它们是安全的,这很诱人。但用户和企业在将账户连接到第三方应用程序时需要小心,因为第三方应用程序可能会要求比他们需要的更多的访问权限,Cloudlock的Kaya说。
“黑客已经开始利用这种攻击,”她说。“所有公司都需要考虑这一点。”