谷歌已经停止了周三巧妙的电子邮件钓鱼计划,但攻击很可能会卷土重来。
一位安全研究人员已经成功地复制它,即使谷歌正在努力保护用户免受此类攻击。
“它看起来酷似原来的恶搞,”马特·奥斯汀,在对比度安全安全研究主任说。
该网络钓鱼的计划- 这可能已经流传到100万个Gmail用户 - 特别有效,因为它愚弄用户提供一个虚拟应用程序看起来像谷歌文档。
谁收到的电子邮件收件人被邀请点击一个蓝色的盒子说:“在文件中开启。”这些谁没有被带到那他们问到移交Gmail的访问虚拟应用程序的实际谷歌帐户页面。
虽然嘴硬用户欺骗性电子邮件是什么新鲜事,周三的攻击涉及真正的谷歌工艺制成的实际的第三方应用程序。该公司的开发者平台可以使任何人都可以创建基于Web的应用程序。
在这种情况下,罪犯选择将应用程序命名为“谷歌文档”,以欺骗用户。
搜索公司已通过移除应用程序关闭攻击。它也从命名他们的第三方应用程序使用“谷歌”禁止其他开发商。
然而,奥斯汀发现他仍然能复制周三的钓鱼方案。他这样做,通过使用搜索公司的开发平台来创建自己的第三方应用,也将其称为“谷歌文档。”
迈克尔侃
安全研究员Matt Austin使用西里尔字母复制了周三的钓鱼攻击。
唯一的区别是,奥斯汀使用西里尔字符,在俄罗斯使用的,在他的应用程序名称的字母“O”。
“西里尔字母O看起来完全像其他字母o,”奥斯汀说。然后,他复制了周三的攻击的其余部分,创建一个使用相同的设计界面假的电子邮件。
奥斯汀提交的安全性问题,以谷歌,而现在它的开发平台不再接受该名称下的应用程序。但是,他和其他安全专家预测,糟糕的演员们也正在复制周三的攻击。
“毫无疑问,这将再次重复,”艾谢·卡亚,思科Cloudlock Cyberlabs,安全提供一个董事。“它可能会更经常发生的。”
更传统的网络钓鱼电子邮件方案可通过欺骗用户放弃他们的登录凭据罢工。但是,周三的攻击采用不同的方法,什么是被称为OAuth协议滥用,互联网的便捷方式帐户与第三方应用程序的链接。
通过OAuth的,用户不必交出任何密码信息。他们转而授予权限,以便一个第三方应用程序可以连接到他们的上网账号,在说,谷歌,Facebook或Twitter。
但是,像任何技术,OAuth的可被利用。早在2011年,一个开发商甚至警告该协议可能会在与谷歌冒充服务应用网络钓鱼攻击使用。
然而,OAuth已经成为跨IT使用的一个流行标准。CloudLock发现,超过276,000个应用程序通过谷歌、Facebook和微软Office 365等服务使用该协议。
帮助企业实施OAuth的it顾问亚伦·帕克奇(Aaron Parecki)说,谷歌自己的服务没有充分指出钓鱼来自一个可疑的开发人员,这助长了周三的钓鱼计划。
例如,虚拟的谷歌文档应用程序是由eugene.pupov@gmail.com的开发者注册的——这就是该产品不真实的危险信号。
然而,虚拟应用程序仍然设法欺骗用户,因为谷歌自己的帐户权限页从未列得明明白白开发者的信息,除非用户点击网页找出来,Parecki说。
Cloudlock
假冒谷歌文档应用程序背后的开发者才会出现,如果你的鼠标在产品情报。
“我很惊讶,谷歌并没有表现出多大的标识与这些应用程序的信息,”他说。“这是什么可以去错了一个很好的例子。”
Parecki说,与其隐藏这些细节,不如全部展示给用户。
奥斯汀表示同意,并说,要求允许Gmail的应用程序应包括在用户正在移交更公然警告。
“我还没有加入憎恨OAuth的行列。我确实认为它很有价值。”奥斯汀说。“但这也有一些风险。”
幸运的是,谷歌很快就挫败了周三的攻击,并引入了“反滥用系统”来防止类似事件再次发生。可能受到影响的用户可以执行a操作谷歌安全检查回顾一下应用程序连接到他们的帐户。
该公司的Gmail Android应用程序也是如此引入新的安全功能,以警告可能是仿冒企图的用户。
人们很容易安装应用程序,并假定它们是安全的。但是,用户和企业需要连接帐户的第三方应用程序,这可能会被要求比他们需要更多的访问时要小心,Cloudlock的卡亚说。
“黑客拥有领先地位利用这种攻击,”她说。“所有的公司都必须考虑这一点。”