هجمات مثل احتيال محرر مستندات Google التي اجتاحت الإنترنت لمدة ساعة أمس (3 مايو) من المحتمل أن تحدث لخدمات أخرى عبر الإنترنت ، وذلك بفضل آلية تسجيل الدخول الشائعة التي تستخدمها مئات مواقع الويب.

استغلت عملية الاحتيال بروتوكول OAuth (لـ "التفويض المفتوح") ، والذي تستخدمه Google و Facebook و Twitter والعديد من تستخدم الخدمات الأخرى لتسجيل دخول المستخدمين إلى مواقع ويب متعددة في وقت واحد ، وإبقاء هؤلاء المستخدمين مسجلين الدخول إلى أجل غير مسمى.

الائتمان: dennizn / Shutterstock
(رصيد الصورة: dennizn / Shutterstock)

"يبدو أن وظيفة هذه الحملة هي تجسيد حديث لفيروسات ماكرو البريد الإلكتروني القديمة ، مثل دودة ILoveYouقال أليكس هيد ، كبير مسؤولي الأبحاث في SecurityScorecard في نيويورك.

قال هايد: "من المحتمل جدًا أن يكون استخدام بروتوكول OAuth موضوعًا شائعًا في حملات التصيد الاحتيالي المستقبلية". "هذه الطريقة فعالة من وجهة نظر الهندسة الاجتماعية للضحية ، والوظائف القوية لتطبيقات OAuth تسمح للمهاجمين بتوسيع مساحة سطح الهجوم."

أكثر: أفضل برامج وتطبيقات مكافحة الفيروسات

عند تسجيل الدخول إلى خدمة تستخدم OAuth ، فإنك تنشئ "رمز جلسة مميزًا" يمكن نقله إلى مواقع وخدمات أخرى ، وتسجيل دخولك إليها أيضًا. هذه هي الطريقة التي يمكنك من خلالها تسجيل الدخول إلى TweetDeck و Twitter في نفس الوقت ، أو تسجيل الدخول إلى مئات المواقع باستخدام كلمة مرور Facebook الخاصة بك.

قال "لن يتم التخلص من تصيّد OAuth" جوردان رايت، مهندس بحث وتطوير في Duo Labs في آن أربور ، ميشيغان ، في مدونة تم نشرها اليوم (4 مايو).

"يشير نجاح هذه الحملة إلى أنه من المحتمل أن نرى المزيد من هذا النوع التصيد قال رايت. "من السهل أتمتة هذه الهجمات ، وهي رخيصة الإعداد ، وكما رأينا يوم الأربعاء ، فهي فعالة للغاية".

ما تحتاج إلى معرفته (وماذا يمكنك أن تفعل)

كان الجانب المشرق في هجوم الأمس أنه لم يكن هناك أي حمولة خبيثة ، ولا أي سرقة لأسماء المستخدمين أو كلمات المرور. إذا كنت متأثرًا ، فلن تضطر إلى تغيير كلمة مرور Google الخاصة بك.

لكن عليك أن تذهب إلى https://myaccount.google.com/permissions وتحقق لمعرفة ما إذا كان مُحرر مستندات Google مدرجًا كخدمة يمكنها الوصول إلى حساب Google الخاص بك. إذا كان الأمر كذلك ، قم بإزالته. (يحتوي محرر مستندات Google الحقيقي على وصول مضمّن ولن يظهر على الصفحة.)

هذه ليست الفرشاة الأولى لـ OAuth مع العار - an خطأ OAuth تم الكشف عنها منذ ما يقرب من ثلاث سنوات بالضبط للسماح لأي شخص باختطاف حسابات Google أو Facebook أو Twitter أو Microsoft.

تتمتع الرموز المميزة للجلسة بعمر محدود ، ولكنها غالبًا ما تستغرق أسابيع ، حيث يمكن لأي شخص يحتفظ بنفسه بشكل دائم بتسجيل الدخول إلى مواقع الويب المستخدمة كثيرًا أن يشهد. بين الحين والآخر ، سيتعين عليك تسجيل الدخول مرة أخرى ، وهذه هي الطريقة التي تعرف بها أن رمز الجلسة السابقة قد انتهى.

ومع ذلك ، فإن تسجيل الخروج من هذه الخدمات سيقتل رمز الجلسة. المهم هو أنه يجب عليك تسجيل الخروج من جميع أجهزة الكمبيوتر المكتبية أو المحمولة التي قد تستخدمها بانتظام. (التطبيقات والمتصفحات الموجودة على الأجهزة المحمولة أقل خطورة.)

تتمثل إحدى طرق تجنب إساءة استخدام OAuth في تسجيل الخروج من Facebook و Twitter و Gmail وأي خدمة أخرى عبر الإنترنت بمجرد انتهائك من استخدامها على جهاز الكمبيوتر. سيتعين عليك تسجيل الدخول مرة أخرى في المرة القادمة ، وهو نوع من الألم ، ولكن على الأقل ستعرف أنه لا يمكن لأي شخص آخر سرقة الرمز المميز الخاص بك وتسجيل الدخول بدون إذنك

لماذا نجح الهجوم بشكل جيد

خدع هجوم الأمس ضحاياه من خلال إنشاء رمز OAuth المميز لخدمة مستندات Google وهمية ، وخداع المستخدم لمنح محرّر مستندات Google المزيف حق الوصول إلى حسابات Gmail الخاصة بهم. باستخدام رمز OAuth المميز هذا ، يمكن للخدمة الزائفة اختراق Gmail.

أرسلت الخدمة الزائفة تلقائيًا رسائل بريد إلكتروني إلى كل شخص في دفتر عناوين الضحية ، وتطلب منهم عرض مستند محرر مستندات Google. إذا نقر الضحية على الزر "عرض في المستندات" في رسالة البريد الإلكتروني ، فقد تم تقديمه مع النوافذ المنبثقة تطلب الإذن لمنح محرر مستندات Google الإذن للوصول إلى Gmail ، وتكررت الدورة بحد ذاتها.

سواء قمت بتمكين توثيق ذو عاملين على حساب Google الخاص بك لم يحدث أي فرق - يفترض OAuth أنك مفوض بالكامل بالفعل ، وينفخ مباشرة من 2FA.

"نظرًا لأن تصيد OAuth الاحتيالي يتجنب العلامات الحمراء المعتادة التي اعتاد المستخدمون عليها مع التصيد الاحتيالي عبر البريد الإلكتروني (أي رابط عنوان URL غير مألوف أو مخادع ، طلب تسجيل الدخول ، أو الملف المرفق) ، من المحتمل أن يحقق معدل نجاح أعلى وقد يربك المستخدمين الأكثر خبرة وكفاءة ، " كتب جريج مارتن، الرئيس التنفيذي لشركة Jask ، وهي شركة للأمن السيبراني في سان فرانسيسكو ، على موقع Dark Reading الإلكتروني.

  • أفضل ملحقات جوجل كروم
  • كيفية إنشاء وتذكر كلمات مرور فائقة الأمان
  • أفضل برامج إدارة كلمات المرور

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.