Google文档在周二被拉入了偷偷摸摸的电子邮件网络钓鱼攻击,旨在欺骗用户放弃访问他们的Gmail帐户。
网络钓鱼电子邮件在谷歌停止之前分发了大约三个小时,请邀请收件人打开似乎是Google文档的内容。剪刀是一个蓝色的框,说:“在文档中开放。”
实际上,链接导致了一个虚拟应用程序,要求用户获取访问其Gmail帐户的权限。
reddit.星期二分发的网络钓鱼电子邮件的一个例子。
用户可能很容易被愚弄,因为虚拟应用程序实际上名为“Google文档”。它还要求通过Google的实际登录服务访问Gmail。
黑客能够通过滥用OAuth协议,以谷歌,推特,Facebook和其他服务连接的互联网账户来删除攻击,以与第三方应用联系。
OAuth协议不会传输任何密码信息,而是使用可以打开帐户访问权限的特殊访问令牌。
但是,OAuth在错误的手中可能是危险的。星期二攻击背后的黑客似乎建立了一个第三方应用程序,利用Google进程获得帐户访问。
reddit.虚拟应用程序将尝试询问帐户许可。
“攻击非常聪明,它利用您将您的Google账户链接到第三方申请的能力,”安全公司趋势科技趋势云研究副总裁Mark Nunnikhoven表示。
利用oauth进行帐户访问尤其狡猾,因为它可以绕过需要窃取某人的登录凭据甚至谷歌的2步验证。
[评论这个故事,请访问Computerworld的Facebook页面。]上个月,趋势科技称,俄罗斯黑客集团称为花哨的熊是使用类似的电子邮件攻击方法,这些方法将OAuth协议滥用到Phish受害者。
然而,安全专家表示,周二的网络钓鱼攻击可能不是花哨的熊,这是一个阴影小组,许多专家怀疑俄罗斯政府的工作。
“我不相信他们落后于此......因为这是太普遍的,”安全提供商Alienvault的首席科学家Jaime Blasco在一封电子邮件中表示。
周二,Twitter上的许多用户,包括记者,发布网络钓鱼电子邮件的屏幕镜头,提示猜测黑客正在收集受害者的“联系人列表”以实现更多用户。
此次攻击还通过在“[email protected]”的电子邮件地址发送。Mailinator是免费电子邮件服务的提供商,否认了任何参与。
幸运的是,谷歌在Reddit上发布了他们的用户之后,谷歌迅速移动了停止网络钓鱼攻击。
“我们已经删除了假页面,通过安全浏览推动更新,我们的滥用团队正在努力防止这种欺骗再次发生,”谷歌在一份声明中表示。
安全专家和Google建议受影响的用户检查第三方应用程序是否有权访问其帐户并撤消任何可疑访问权限。用户可以通过访问此地址,或执行Google安全检查。
在可疑的电子邮件中小心谨慎,这也是很好的做法。许多黑客尝试,包括恶意软件感染,通过通过电子邮件发送的链接或附件。
安全公司警告,其他黑客可能会滥用oauth的类似网络钓鱼攻击,而不仅仅是通过谷歌,而是用Facebook和LinkedIn进行。
“与所有其他创造性的,新的方法一样,它可能几乎可以立即复制,”思科的Talos Security Group在博客帖子中表示。TALOS已经确定了超过275,000个使用OAuth的应用程序,并连接到云端。
虽然攻击可能是新颖的,但对OAuth的危险几乎没有新的。安全专家在过去警告说,通过操纵OAuth来批准对错误派对的权限来证明用户可以获得。
为了回应此类袭击,谷歌上个月表示,它审查了任何OAuth滥用,并取下了违反其用户数据策略的数千个应用程序,包括模拟公司产品的人。
研究公司勘误安全CERCAICE表示,网络钓鱼计划可能会推动谷歌在使用OAuth的应用中采取更严格的立场。
然而,互联网巨头必须在确保安全和培养繁荣的应用生态系统之间取得平衡。
“你做的常备越多,你就越停止创新,”格雷厄姆说。“这是一个权衡。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。