Google Docs Phishing Attack: Firma til at pakke OAuth Exploit bruges i angreb

Google Phishing-angrebet spredte sig hurtigt på tværs af sociale medier i sidste uge, før det blev stoppet, og nu strammer Google sine processer for at forhindre gentagelse.

I en indlæg Mandag sagde Google, at det vil opgradere sit OAuth-system og opdatere sin generelle spam- og sikkerhedsovervågning for at forhindre et lignende angreb i fremtiden. Google sagde, at det havde tidligere beskyttelser for e-mailbaseret phishing, herunder Gmail-advarsler i forbindelse med mistænkelige e-mails og spam-detektion.

Læse: Google Docs Phishing Scam: Hvordan kan du beskytte dig mod phishing?

"Ved at opdage dette problem reagerede vi straks med en kombination af automatiske og manuelle handlinger, der afsluttede denne kampagne inden for en time," sagde Google. "Vi fjernede falske sider og applikationer og skubbede opdateringer til brugerbeskyttelse via Safe Browsing, Gmail, Google Cloud Platform og andre modmisbrugssystemer. Færre end 0.1 procent af vores brugere blev påvirket af dette angreb, og vi har taget skridt til at genudføre de berørte konti. "

Google Docs-phishing-scam fungerede ved at sende en falsk Google Docs-e-mail til brugere fra konti, som de tidligere har kontaktet eller ville vide. I e-mailen vil brugerne blive rettet til en reel OAuth-prompt, der ville lede dem til en falsk Google Docs-app. Når deres legitimationsoplysninger blev godkendt, ville appen trække fra en brugers kontakter og sprede den oprindelige email til flere brugere. Ifølge Google blev mindre end 0.1 procent af Gmail-brugere påvirket af udnyttelsen.

OAuth henviser til Open Authorization, en åben standard, der giver brugere tilladelse til tredjepartswebsteder eller -programmer til at udnytte deres kontooplysninger uden at kræve en adgangskode. Det bruges almindeligt, når applikationer eller spil leder dig til en ekstern webside for at forbinde den til en konto fra en tjeneste som Google eller Facebook.

Læse: Email Attack hijacks brugerkonti ved at angive som Google Docs

Mens Google's lappe til Google Docs phishing-angreb ser ud til at forhindre en gentagelsesbegivenhed, var det heller ikke første gang, Google havde hørt om udnyttelsen. Forsker Andre DeMarre skrev om en lignende udnyttelse på en mailingliste og rapporterede det til Google i 2012, Bundkort rapporteret.

Som DeMarre skrev i hans første indlæg I 2011 kunne en ondsindet tredjepart nemt omdøbe appen til at udgive en anerkendt kilde, ligesom Google Phishing-e-mail kom fra en falsk Google Docs-app.

"Forestil dig at nogen registrerer en klientprogram med en OAuth-tjeneste, lad os kalde det Foobar, og han navngiver sin klientapp 'Google Inc.' Foobar autorisationsserveren vil involvere brugeren med: 'Google Inc. anmoder om tilladelse til at gøre følgende.' Resourceejerne kan muligvis begrunde, "Jeg ser, at jeg er legitim på https://www.foobar.com webstedet, og Foobar fortæller mig, at Google ønsker tilladelse. Jeg stoler på Foobar og Google, så jeg klikker Tillad. '

"For at gøre maskeradagen mere overbevisende, tillader mange af de mest populære OAuth-tjenester app-udviklere at uploade billeder, hvilket kunne være officielle logoer af de organisationer, de udgør. Ofte kan app-udviklere levere vilkårlige, ubekræftede URI'er, som vises til ressourceejeren som appens websted, selvom domænet ikke stemmer overens med omdirigerings-URI. Nogle OAuth-tjenester overlader blinkt klientprogrammer til at tilpasse autorisationssiden på andre måder. "

Google anbefaler brugerne at tage forholdsregler som at bruge Google Security Checkup og rapportere mistænkelige e-mails til Google via Gmail. Enterprise-brugere bør også bruge sikkerhedsforanstaltninger som muliggør tofaktorautentificering og kørsel af OAuth-token-revisioner for at finde problematiske anvendelsesområder.

Kilde

Giv en kommentar