Útoky ako Phishingový podvod s dokumentmi Google ktoré sa včera (3. mája) prehnali cez celú hodinu cez internet, sa pravdepodobne stanú s inými online službami vďaka spoločnému mechanizmu prihlásenia, ktorý používajú stovky webových stránok.

Podvod zneužil protokol OAuth (pre „otvorenú autorizáciu“), ktorý používajú Google, Facebook, Twitter a mnohé ďalšie iné služby slúžia na prihlásenie používateľov na viac webových stránok naraz a na zabezpečenie ich prihlásenia na neurčito.

Poďakovanie: dennizn / Shutterstock
(Obrazový kredit: dennizn / Shutterstock)

„[] Funkčnosť tejto kampane sa javí ako moderná inkarnácia starých e-mailových makrovírusov, ako sú napr červ ILoveYou, “uviedol Alex Heid, vedúci výskumu v spoločnosti SecurityScorecard v New Yorku.

„Je vysoko pravdepodobné, že použitie OAuth bude bežnou témou budúcich phishingových kampaní,“ uviedol Heid. „Táto metóda je efektívna z hľadiska sociálneho inžinierstva obete, aj robustné funkcie aplikácií OAuth umožňujú útočníkom rozšíriť plochu útoku.“

VIAC: Najlepší antivírusový softvér a aplikácie

Keď sa prihlásite do služby, ktorá používa OAuth, vytvoríte „token relácie“, ktorý je možné preniesť na iné stránky a služby, a prihlásite sa do nich tiež. Takto sa môžete prihlásiť na TweetDeck a Twitter súčasne alebo sa prihlásiť na stovky webových stránok pomocou hesla na Facebooku.

„Phishing OAuth nezmizne,“ povedal Jordan Wright, výskumný a vývojový inžinier v spoločnosti Duo Labs v Ann Arbor, Michigan, v dnešnom blogu (4. mája).

„Úspech tejto kampane naznačuje, že je pravdepodobné, že tohto typu uvidíme viac phishing dopredu, “povedal Wright. „Tieto útoky sa dajú ľahko automatizovať, ich zriadenie je lacné a ako sme videli v stredu, sú veľmi účinné.“

Čo potrebujete vedieť (a čo môžete urobiť)

Strieborná línia vo včerajšom útoku spočívala v tom, že nešlo o nijaké škodlivé užitočné zaťaženie ani o krádež používateľských mien či hesiel. Ak sa vás to týkalo, nemusíte meniť svoje heslo Google.

Musíte však ísť do https://myaccount.google.com/permissions a skontrolujte, či je služba Dokumenty Google uvedená ako služba, ktorá má prístup k vášmu účtu Google. Ak je to tak, odstráňte ho. (Skutočné Dokumenty Google majú zabudovaný prístup a na stránke sa nezobrazia.)

Toto nie je prvý štetec OAuth s hanbou - Chyba protokolu OAuth zverejnené takmer presne pred tromi rokmi, mohlo komukoľvek umožniť uniesť vaše účty Google, Facebook, Twitter alebo Microsoft.

Tokeny relácie majú konečnú životnosť, ale často sú to týždne, ako môže dosvedčiť každý, kto sa natrvalo prihlási na často používané webové stránky. Raz za čas sa budete musieť znova prihlásiť, vďaka čomu viete, že platnosť vášho predchádzajúceho tokenu relácie uplynula.

Avšak odhlásenie z týchto služieb zabije token relácie. Háčik je v tom, že sa musíte odhlásiť zo všetkých stolových alebo prenosných počítačov, ktoré pravidelne používate. (Aplikácie a prehliadače na mobilných zariadeniach sú vystavené menšiemu riziku.)

Jedným zo spôsobov, ako sa vyhnúť zneužívaniu protokolu OAuth, je odhlásiť sa z Facebooku, Twitteru, Gmailu a akejkoľvek inej online služby hneď, ako ju v počítači použijete. Nabudúce sa budete musieť prihlásiť, čo je trochu bolestivé, ale aspoň viete, že nikto iný vám nemôže ukradnúť token a prihlásiť sa bez vášho súhlasu

Prečo útok fungoval tak dobre

Včerajší útok prinútil svoje obete, aby vygenerovali token OAuth pre falošnú službu Dokumenty Google, a podviedol používateľa, aby falošným dokumentom Google umožnil prístup k ich účtom Gmail. S týmto tokenom OAuth by falošná služba mohla uniesť Gmail.

Falošná služba automaticky odoslala e-maily všetkým v adresári obete so žiadosťou o prezeranie dokumentu Dokumentov Google. Ak postihnutý v e-mailovej správe zacinkal na tlačidlo „Zobraziť v dokumentoch“, dostalo sa mu a vyskakovacie okná so žiadosťou o povolenie udeliť Dokumentom Google povolenie na prístup k službe Gmail a cyklus sa opakuje sám.

Či ste povolili dvojfaktorová autentifikácia vo vašom účte Google nezmenil žiadny rozdiel - OAuth predpokladá, že už máte úplnú autorizáciu, a zaútočí správne pomocou protokolu 2FA.

„Pretože sa phishing pomocou protokolu OAuth vyhýba typickým červeným príznakom, na ktoré si používatelia zvykli pri phishingu prostredníctvom e-mailu (tj. Neznámy alebo sfalšovaný odkaz na adresu URL, žiadosť o prihlásenie alebo pripojený súbor), je pravdepodobné, že bude mať vyššiu mieru úspešnosti a môže zmiasť aj skúsenejších a kompetentnejších používateľov, “ napísal Greg Martin, Generálny riaditeľ spoločnosti Jask, firmy v oblasti kybernetickej bezpečnosti v San Franciscu, na webe Dark Reading.

  • Najlepšie rozšírenia Google Chrome
  • Ako vytvárať a pamätať si superbezpečné heslá
  • Najlepší správcovia hesiel

Získajte okamžitý prístup k najaktuálnejším novinkám, najaktuálnejším recenziám, skvelým ponukám a užitočným tipom.

Ďakujeme, že ste sa zaregistrovali do Tomovho sprievodcu. Čoskoro dostanete overovací e-mail.

Bol tu problém. Obnovte stránku a skúste to znova.

Žiadny spam, sľubujeme. Odber môžete kedykoľvek zrušiť a nikdy nebudeme zdieľať vaše podrobnosti bez vášho súhlasu.