Serangan phishing Google Docs menggariskan risiko keselamatan OAuth

Satu penyelidik keselamatan telah berjaya mereplikasinya, walaupun Google cuba melindungi pengguna daripada serangan tersebut.

"Ini

Pembacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda

Skim pancingan data yang mungkin telah diedarkan kepada 1 juta Pengguna Gmail-amat berkesan kerana ia menipu pengguna dengan aplikasi dummy yang kelihatan seperti Dokumen Google.

Penerima yang menerima e-mel dijemput untuk mengklik kotak biru yang mengatakan "Buka dalam Dokumen." Mereka yang telah dibawa ke Googl sebenar e halaman akaun yang meminta mereka untuk menyerahkan akses Gmail ke aplikasi dummy.

Walaupun membohongi pengguna dengan e-mel yang palsu, tidak ada yang baru, serangan hari Rabu melibatkan aplikasi pihak ketiga yang sebenarnya dibuat dengan proses Google yang sebenar. Platform pemaju syarikat boleh membolehkan sesiapa sahaja untuk membuat aplikasi berasaskan web.

Dalam kes ini, pelakunya memilih untuk menamakan aplikasi "Google Docs" sebagai usaha untuk menipu pengguna.

Syarikat carian telah menutup serangan dengan mengeluarkan aplikasinya. Ia juga menghalang pemaju lain daripada menggunakan "Google" dalam menamakan aplikasi pihak ketiga mereka.

Walau bagaimanapun, Austin mendapati dia masih dapat menghasilkan semula skrip pancingan data Rabu. Beliau melakukan demikian, dengan menggunakan platform pemaju syarikat carian untuk membuat aplikasi pihak ketiga sendiri dan juga menyebutnya "Dokumen Google."

Michael Kan

Penyelidik keselamatan Matt Austin mereplikasikan serangan phishing Rabu menggunakan skrip Cyrillic.

Satu-satunya perbezaan ialah Austin menggunakan watak Cyrillic, yang digunakan di Rusia, untuk huruf "o" dalam nama aplikasinya.

"Huruf Cyrillic kelihatan sama seperti huruf lain," kata Austin. Dia kemudian direplikasi sepanjang serangan hari Rabu, mewujudkan e-mel palsu yang menggunakan antara muka reka bentuk yang sama.

Austin telah menyerahkan isu keselamatan kepada Google, dan sekarang platform pemajunya tidak lagi menerima aplikasi di bawah nama itu. Bagaimanapun, beliau dan pakar keselamatan lain meramalkan bahawa pelakon yang buruk juga sedang berusaha menyalin serangan Rabu.

"Tidak ada persoalan bahawa ini akan diulang lagi," kata Ayse Kaya, pengarah di Cisco Cloudlock Cyberlabs, penyedia keselamatan. "Ini mungkin akan berlaku lebih kerap."

Skim e-mel phishing yang lebih tradisional boleh menyerang dengan menipu pengguna untuk menyerahkan kelayakan log masuk mereka. Walau bagaimanapun, serangan Rabu mengambil pendekatan dan penyalahgunaan yang berbeza seperti yang diketahui sebagai protokol OAuth, cara mudah untuk akaun internet untuk dihubungkan dengan aplikasi pihak ketiga.

Melalui OAuth, pengguna tidak perlu menyerahkan apa-apa maklumat kata laluan. Mereka sebaliknya memberikan izin supaya satu aplikasi pihak ketiga boleh menyambung ke akaun internet mereka, katakan, Google, Facebook atau Twitter.

Tetapi seperti teknologi apa saja, OAuth boleh dieksploitasi. Kembali pada tahun 2011, seorang pemaju bahkan memberi amaran bahawa protokol itu boleh digunakan dalam serangan pancingan data dengan aplikasi yang menyamar sebagai perkhidmatan Google.

Namun begitu, OAuth telah menjadi standard popular yang digunakan di seluruh IT. CloudLock telah menemui bahawa lebih daripada 276,000 aplikasi menggunakan protokol tersebut melalui perkhidmatan seperti Google, Facebook dan Microsoft Office 365.

Skim phishing apa yang dibantunya hari Rabu adalah bahawa perkhidmatan Google sendiri tidak cukup untuk menunjukkan ia datang dari pemaju yang mencurigakan, kata Aaron Parecki, seorang perunding IT yang membantu perniagaan melaksanakan OAuth.

Sebagai contoh, aplikasi Google Docs dummy telah didaftarkan kepada pemaju di [email protected] bendera merah bahawa produk itu tidak benar.

Walau bagaimanapun, aplikasi dummy masih berjaya menipu pengguna kerana laman kebenaran akaun Google sendiri tidak menyenaraikan maklumat pemaju dengan jelas, melainkan pengguna mengklik halaman untuk mengetahui, Kata Parecki.

Cloudlock

Pembangun di sebalik aplikasi Google Docs palsu hanya muncul jika anda tetikus di atas maklumat produk.

"Saya terkejut Google tidak menunjukkan banyak maklumat mengenal pasti dengan aplikasi ini," katanya. "Ia satu contoh yang hebat tentang apa yang boleh menjadi salah."

Daripada menyembunyikan butiran itu, semua itu harus ditunjukkan kepada pengguna, kata Parecki.

Austin bersetuju, dan berkata aplikasi yang meminta izin ke Gmail harus memasukkan amaran yang lebih jelas tentang apa yang pengguna menyerahkan.

"Saya tidak menggunakan kereta kebal OAuth lagi. Saya melihatnya sebagai berharga, "kata Austin. "Tetapi terdapat beberapa risiko dengannya."

Untungnya, Google dapat dengan cepat memajukan serangan hari Rabu, dan memperkenalkan "sistem anti-penyalahgunaan" untuk mencegahnya berlaku lagi. Pengguna yang mungkin terjejas boleh melakukan pemeriksaan keselamatan Google untuk menyemak aplikasi apa yang disambungkan ke akaun mereka.

Aplikasi Android Gmail syarikat juga memperkenalkan ciri keselamatan baru untuk memberi amaran kepada pengguna tentang percubaan phishing yang mungkin.

Ia menggoda untuk memasang aplikasi dan menganggapnya selamat. Tetapi pengguna dan perniagaan perlu berhati-hati apabila memautkan akaun ke aplikasi pihak ketiga, yang mungkin meminta lebih banyak akses daripada yang mereka perlukan, kata Cloudlock Kaya.

"Peretas mempunyai permulaan yang mengeksploitasi serangan ini," katanya. "Semua syarikat perlu memikirkannya."