5月3日下午,谷歌Docs/Gmail用户遭受了一种新型网络钓鱼的恶意攻击。攻击者通过伪造与谷歌Docs非常相似的应用向Docs/Gmail用户发出账号权限请求,如果用户不慎点击这个插件,Gmail将被恶意读取,且会生成诈骗信息转发给每位用户的邮件列表好友。现在,Google发誓要做进一步的努力以防止这种虚假Docs攻击重蹈覆辙。
除了Google上周发布的新的网络钓鱼警告,他们还将更新其OAuth应用程序的政策和执行。
为了防止再次发生虚假Docs攻击,对Gmail用户造成更多损失,Google表示将强化用于第三方应用与Google帐户关联的OAuth系统。
Google已经提供了一个更详细的解释,说明了上周Google Docs的应用程序是如何攻击用户,然后滥用自己的系统来传播网络钓鱼邮件的。
一旦点击了链接,你就会被重定向到一个页面,页面内容是Google文档(Google Docs)申请获取以下权限:读取、发送和删除邮件;获取联系人。如果你点击了允许,黑客就能立即管理你的Gmail账号,获取你所有的邮件、联系人,并且不需要你的密码。
事实上,受害者们收到的是一个假的Google文档,黑客创建了一个名为“Google Docs”的虚假应用,然后通过上述的Oauth认证获取你的账号信息。而真正的Google文档是不会请求Gmail账号的权限的。
这不是攻击者第一次使用Google的OAuth进行网络钓鱼。据悉这是被俄罗斯智库所雇佣的美国黑客团队“奇幻熊”(Fancy Bear)黑客干的,也是在法国大选中攻击马克龙团队的黑客。正如一位安全专家所指出的,Google可以通过更彻底地检查那些注册使用OAuth机制的开发人员,让他们来阻止它。
安全公司Sophos的首席研究科学家Chet Wisniewski说,虚假的Google Docs网络钓鱼攻击与恶意软件创建者滥用Google Play商店没有什么不同。区别只有用户从Google Play安装的恶意应用程序,收到Google的电子邮件是真实的,授权了Google真正的OAuth界面中的应用程序。
他说:“对任何人开放使用OAuth系统,这种行为一直以来都容易受到这种类型的攻击,而且Google在更好的审查应用程序开发人员上承担了更多的重任。”
正如谷歌曾经解释的,它有几种机制来打击这种类型的网络钓鱼攻击,包括机器检测垃圾邮件,安全浏览系统和病毒扫描附件。
不过,该公司上周五也表示将更新OAuth应用程序的政策和执行。
“我们将采取多种措施来打击这种类型的攻击,包括更新我们在OAuth应用程序中的政策和执行,更新我们的反垃圾邮件系统,帮助减少这样的事件,并增加对可疑第三方应用程序的监控,要求用户提供相关信息,”Google反滥用技术总监Mark Risher写道。
谷歌也警告了G Suite客户不要被网络钓鱼攻击所迷惑。
据Risher称,这次事件不到0.1%的用户受到了影响。换句话说,Google的10亿Gmail用户中有一百万的用户受到了影响。
本文由网安视界(网络空间安全情报站和智库)独家创作整理,转载请注明出处。