Gibi saldırılar Google Dokümanlar kimlik avı dolandırıcılığı Dün (3 Mayıs) internette bir saat boyunca süpürülen, yüzlerce web sitesi tarafından kullanılan ortak bir oturum açma mekanizması sayesinde büyük olasılıkla diğer çevrimiçi hizmetlerin başına gelecek.

Dolandırıcılık, Google, Facebook, Twitter ve pek çok kişinin yaptığı OAuth ("açık yetkilendirme" için) protokolünü kötüye kullandı. diğer hizmetler, kullanıcıları aynı anda birden fazla web sitesinde oturum açmak ve bu kullanıcıları oturum açmak için kullanır süresiz.

Kredi: dennizn / Shutterstock
(Resim kredisi: dennizn / Shutterstock)

"Bu kampanyanın işlevselliği, eski e-posta makro virüslerinin modern bir cisimleşmiş hali gibi görünüyor. ILoveYou solucanı, "dedi, New York'taki SecurityScorecard'ın araştırma görevlisi Alex Heid.

Heid, "OAuth kullanımının gelecekteki kimlik avı kampanyalarında ortak bir tema olması muhtemeldir" dedi. "Bu yöntem hem kurbanın sosyal mühendislik açısından etkilidir hem de OAuth uygulamalarının sağlam işlevleri saldırganların saldırı yüzey alanını genişletmesine olanak tanır."

DAHA: En İyi Antivirüs Yazılımları ve Uygulamaları

OAuth kullanan bir hizmete giriş yaptığınızda, diğer sitelere ve hizmetlere aktarılabilen bir "oturum jetonu" oluşturursunuz ve sizin de bunlarda oturum açarsınız. Bu şekilde TweetDeck ve Twitter'da aynı anda oturum açabilir veya Facebook şifrenizle yüzlerce web sitesinde oturum açabilirsiniz.

"OAuth kimlik avı ortadan kalkmıyor," dedi Jordan Wright, Michigan, Ann Arbor'daki Duo Labs'de bir araştırma ve geliştirme mühendisi olan bir blog yazısında (4 Mayıs).

"Bu kampanyanın başarısı, bu türden daha fazlasını görme ihtimalimiz olduğunu gösteriyor. e-dolandırıcılık İlerlemek, "dedi Wright. "Bu saldırıların otomatikleştirilmesi kolay, kurulumu ucuz ve Çarşamba günü gördüğümüz gibi çok etkilidir."

Bilmeniz Gerekenler (ve Yapabilecekleriniz)

Dünkü saldırının asıl önemli noktası, kötü niyetli bir yükün ya da kullanıcı adı veya şifre hırsızlığının olmamasıydı. Etkilenmişseniz, Google şifrenizi değiştirmenize gerek yoktur.

Ama gitmen gerek https://myaccount.google.com/permissions ve Google Dokümanlar’ın Google hesabınıza erişimi olan bir hizmet olarak listelenip listelenmediğini kontrol edin. Varsa, çıkarın. (Gerçek Google Dokümanlar yerleşik erişime sahiptir ve sayfada görünmez.)

Bu, OAuth'un ilk kötü şöhretle savaşı değil - OAuth hatası neredeyse tam olarak üç yıl önce ifşa edilmesi, herhangi birinin Google, Facebook, Twitter veya Microsoft hesaplarınızı ele geçirmesine izin verebilirdi.

Oturum belirteçlerinin sınırlı bir ömrü vardır, ancak kendilerini sık kullanılan web sitelerinde kalıcı olarak oturum açmış olan herkes tanıklık edebileceği için genellikle haftalarca sürer. Arada bir, tekrar oturum açmanız gerekecek, bu da önceki oturum jetonunuzun süresinin dolduğunu nasıl anlarsınız.

Ancak, bu tür hizmetlerden çıkış yapmak bir oturum jetonunu öldürecektir. İşin püf noktası, düzenli olarak kullanabileceğiniz tüm masaüstü veya dizüstü bilgisayarlarda oturumu kapatmanız gerektiğidir. (Mobil cihazlardaki uygulamalar ve tarayıcılar daha az risk altındadır.)

OAuth suistimalini önlemenin bir yolu, Facebook, Twitter, Gmail ve diğer çevrimiçi hizmetlerden, onu bir bilgisayarda kullanmayı bitirir bitirmez kapatmaktır. Bir dahaki sefere tekrar giriş yapmanız gerekecek, bu biraz acı verici, ancak en azından kimsenin jetonunuzu çalamayacağını ve izniniz olmadan giriş yapamayacağını bileceksiniz.

Saldırı Neden Bu Kadar İyi Çalıştı?

Dünkü saldırı kurbanlarını sahte bir Google Dokümanlar hizmeti için bir OAuth jetonu oluşturmaları için kandırdı ve kullanıcıyı sahte Google Dokümanlar'a Gmail hesaplarına erişim izni vermesi için kandırdı. Bu OAuth jetonuyla sahte hizmet Gmail'i ele geçirebilir.

Sahte hizmet, kurbanın adres defterindeki herkese otomatik olarak e-postalar göndererek onlardan bir Google Dokümanlar belgesini görüntülemelerini istedi. Bir kurban, e-posta mesajındaki "Dokümanlar'da Görüntüle" düğmesini tıklattıysa, kendisine bir Google Dokümanlar'a Gmail'e erişim izni vermek için izin isteyen açılır pencereler ve döngü tekrarlanır kendisi.

Etkinleştirmiş olsaydın iki faktörlü kimlik doğrulama Google hesabınızda hiçbir fark yaratmadı - OAuth, halihazırda tamamen yetkilendirildiğinizi varsayar ve 2FA tarafından haksız yere patlar.

"OAuth kimlik avı, kullanıcıların e-posta kimlik avına alıştıkları tipik kırmızı bayrakları (yani, tanıdık olmayan veya sahte URL bağlantısı, oturum açma isteği veya ekli dosya), daha yüksek bir başarı oranına sahip olma olasılığı yüksektir ve hatta daha deneyimli ve yetkin kullanıcıları şaşırtabilir, " yazdı Greg Martin, Dark Reading web sitesinde San Francisco'daki bir siber güvenlik firması olan Jask'ın CEO'su.

  • En İyi Google Chrome Uzantıları
  • Süper Güvenli Parolalar Nasıl Oluşturulur ve Hatırlanır
  • En İyi Şifre Yöneticileri

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.