Атаки като Google Docs измама с фишинг това, което вчера (3 май) се разнесе в интернет за един час, вероятно ще се случи с други онлайн услуги, благодарение на общ механизъм за вход, който се използва от стотици уебсайтове.

Измамата използва протокола OAuth (за „отворено упълномощаване“), който Google, Facebook, Twitter и много други други услуги използват за влизане на потребители в няколко уебсайта наведнъж и поддържат тези потребители влезли за неопределено време.

Кредит: dennizn / Shutterstock
(Кредит за изображение: dennizn / Shutterstock)

"[] Функционалността на тази кампания изглежда е модерно въплъщение на стари имейл макро вируси, като червеят ILoveYou, "каза Алекс Хайд, главен изследовател в SecurityScorecard в Ню Йорк.

„Изключително вероятно е използването на OAuth да бъде често срещана тема в бъдещите фишинг кампании“, каза Хайд. „Този ​​метод е ефективен както от гледна точка на социалното инженерство на жертвата, така и стабилните функционалности на приложенията OAuth позволяват на нападателите да разширят повърхността на атаката.“

ПОВЕЧЕ ▼: Най-добрият антивирусен софтуер и приложения

Когато влезете в услуга, която използва OAuth, създавате „сесиен маркер“, който може да бъде прехвърлен към други сайтове и услуги, и също така влизате в тях. По този начин можете да влезете в TweetDeck и Twitter едновременно или да влезете в стотици уебсайтове с паролата си за Facebook.

„Фишингът на OAuth не изчезва“, каза Джордан Райт, инженер за изследвания и разработки в Duo Labs в Ан Арбър, Мичиган, в блог, публикуван днес (4 май).

„Успехът на тази кампания предполага, че вероятно ще видим повече от този тип фишинг придвижвайки се напред ", каза Райт. "Тези атаки са лесни за автоматизиране, евтини са за настройка и, както видяхме в сряда, са много ефективни."

Какво трябва да знаете (и какво можете да направите)

Сребърната облицовка при вчерашната атака беше, че няма злонамерен полезен товар, нито кражба на потребителски имена или пароли. Ако сте били засегнати, не е нужно да променяте паролата си за Google.

Но трябва да отидете на https://myaccount.google.com/permissions и проверете дали Google Docs е посочен като услуга, която има достъп до вашия акаунт в Google. Ако е така, премахнете го. (Истинските Google Документи имат вграден достъп и няма да се показват на страницата.)

Това не е първата четка на OAuth с позор - an OAuth недостатък разкрити преди почти точно три години биха могли да позволят на всеки да отвлече вашите акаунти в Google, Facebook, Twitter или Microsoft.

Токените на сесиите имат краен живот, но често са дълги седмици, тъй като всеки, който се държи постоянно вписан в често използвани уебсайтове, може да свидетелства. От време на време ще трябва да влезете отново, което е начинът, по който знаете, че предишният ви маркер на сесията е изтекъл.

Излизането от такива услуги обаче ще убие сесиен маркер. Уловката е, че трябва да излезете от всички настолни или преносими компютри, които редовно можете да използвате. (Приложенията и браузърите на мобилни устройства са изложени на по-малък риск.)

Един от начините да избегнете злоупотребата с OAuth е да излезете от Facebook, Twitter, Gmail и всяка друга онлайн услуга веднага щом приключите с използването й на компютър. Следващия път ще трябва да влезете отново, което е доста мъчително, но поне ще знаете, че никой друг не може да открадне вашия токен и да влезе без ваше разрешение

Защо атаката работи толкова добре

Вчерашната атака подмами жертвите му да генерират OAuth токен за фалшива услуга на Google Docs и измами потребителя да предостави на фалшивите Google Docs достъп до техните акаунти в Gmail. С този OAuth токен фалшивата услуга може да отвлече Gmail.

Фалшивата услуга автоматично изпраща имейли до всички в адресната книга на жертвата, като ги моли да видят документ на Google Docs. Ако жертвата е щракнала върху бутона „Преглед в документи“ в имейл съобщението, той или тя са получили изскачащи прозорци, които искат разрешение да дадат разрешение на Google Docs за достъп до Gmail и цикълът се повтаря себе си.

Дали сте активирали двуфакторно удостоверяване във вашия акаунт в Google не е направил разлика - OAuth предполага, че вече сте напълно упълномощен и духа от 2FA.

"Тъй като OAuth фишингът избягва типичните червени флагове, които потребителите са свикнали с фишинг на имейли (т.е. непозната или подправена URL връзка заявка за вход или прикачен файл), вероятно ще има по-висок процент на успех и дори може да обърка по-опитни и компетентни потребители, " написа Грег Мартин, Главен изпълнителен директор на Jask, фирма за киберсигурност в Сан Франциско, на уебсайта Dark Reading.

  • Най-добрите разширения на Google Chrome
  • Как да създадете и запомните супер сигурни пароли
  • Най-добрите мениджъри на пароли

Получете незабавен достъп до актуални новини, най-горещите отзиви, страхотни оферти и полезни съвети.

Благодарим ви, че се регистрирахте в Ръководството на Tom. Скоро ще получите имейл за потвърждение.

Имаше проблем. Моля, опреснете страницата и опитайте отново.

Няма спам, обещаваме. Можете да се отпишете по всяко време и никога няма да споделим вашите данни без ваше разрешение.