Масштабная фишинг-атака затронула около 1 млн пользователей Gmail

Масштабная фишинг-атака затронула около 1 млн пользователей Gmail - 1
Источник: Techcrunch

Вот уже пару дней интернет-пользователи получают сообщения в Gmail со ссылкой на некий документ Google Docs внутри. На эту ссылку не стоит кликать даже в том случае, если сообщение пришло от знакомого человека. Дело в том, что эту ссылку рассылает зловредное ПО, созданное неизвестной пока командой киберпреступников. Выглядит все вполне невинно: некто (скажем, ваш начальник, коллега или друг) делится через Gmail ссылкой на документ. Если перейти по ссылке, то зловредное ПО может получить доступ к Gmail-аккаунту жертвы.

Этот зловред, кроме прочих данных, анализирует список контактов пользователей и начинает спамить. Кроме того, malware еще и «читает» письма жертвы и «отвечает» на эти письма. Тем и опасна эта фишинг-атака, что ссылки на документы в Google Docs приходят от знакомых людей, во многих случаях — в качестве ответа на отправленное ранее письмо.

Правда, внимательный пользователь все же заметит некоторые нюансы при переходе на ссылку. А именно — «документ» запрашивает доступ к некоторым функциям аккаунта пользователя. Обычный документ Google Docs так себя не ведет. Но если об этом не знать (а большинство пользователей — не знают или не задумываются), то подозрений «документ» не вызовет. В том и проблема — очень многие пользователи кликают по ссылке и без проблем дают malware все, что оно запрашивает.

Масштабная фишинг-атака затронула около 1 млн пользователей Gmail - 2
Источник: reddit

Самое интересное, что зловред умеет обходить двухфакторную аутентификацию. Его действия также не вызывают подозрения у системы безопасности Google — никаких сообщений о необычной активности аккаунта пользователи не получают. Ну а поскольку malware получает от пользователя высший уровень доступа к аккаунту, то злоумышленники могут получить любую ^[1] информацию, которую заходят.

Если вдруг вы оказались в числе пострадавших, то необходимо, в первую очередь, отозвать ^[2] разрешения на доступ к аккаунту у зловреда. Если это ПО уже успело отправить письма вашим контактам, стоит написать им «вдогонку», объяснив ситуацию. Если вы получаете сообщения с упомянутыми ссылками, то стоит также написать тем, кто их отправляет, чтобы предупредить пострадавших пользователей об опасности.

На момент публикации этого материала Google уже заявил о ликвидации проблемы, но все же стоит быть настороже. Сейчас, возможно, распространение ссылок такого типа уже стало невозможным ^[3], но до исправления проблемы компанией malware разослало сотни тысяч таких сообщений.

Корпорация Google официально заявила следующее: «Мы приняли меры по защите пользователей от компрометации email-аккаунтов ссылками Google Docs, убрав возможность доступа к аккаунтам. Мы также убрали фейковые страницы и предоставили обновления через Safe Browsing ^[4]. Наша команда работает для того, чтобы не допустить подобного впредь. Мы просим пользователей сообщать ^[5] о подобных ситуациях».

Представитель компании также сделал заявление, согласно которому пострадали лишь 0,1% пользователей сервисов Google. Но и это немало, получается, что от действий злоумышленников пострадал примерно 1 миллион человек. И это несмотря на то, что Google ликвидировал уязвимость и само зловредное ПО уже через час после начала работы злоумышленников.

Компания также заявила следующее: «Мы защитили наших пользователей от этих атак, используя автоматические действия и работая „вручную“. Эти действия предусматривают удаление фейковых страниц и приложений… Изучение ситуации показало, что другие данные оказались не затронутыми. Пользователям не нужно предпринимать никаких дальнейших действий в свете происшедшего».

(1 of 3) Official Google Statement on Phishing Email: We have taken action to protect users against an email impersonating Google Docs...

— Google Docs (@googledocs) May 3, 2017 ^[6]

(2 of 3) & have disabled offending accounts. We’ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team...

— Google Docs (@googledocs) May 3, 2017 ^[7]

(3 of 3) is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.

— Google Docs (@googledocs) May 3, 2017 ^[8]

Просмотреть список приложений и сервисов, которые имеют доступ к вашему аккаунту можно здесь ^[9].

Действия сотрудников компании были быстрыми и эффективными, но все же возникает вопрос — сколько еще уязвимостей такого типа могут использовать злоумышленники? В любом случае, решить проблему можно и без Google, если быть внимательным, но в процессе активной работы над чем-то можно просто не обратить внимание на странности пришедшего сообщения и кликнуть на ссылку, подтвердив доступы. От такого не застрахован никто.

Автор: marks

Источник ^[10]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/254444

Ссылки в тексте:

[1] получить любую: https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/

[2] отозвать: https://myaccount.google.com/permissions

[3] стало невозможным: https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/dh36pv2/

[4] Safe Browsing: https://safebrowsing.google.com/

[5] сообщать: https://support.google.com/mail/answer/8253?hl=en

[6] May 3, 2017: https://twitter.com/googledocs/status/859878989250215937

[7] May 3, 2017: https://twitter.com/googledocs/status/859879050738753536

[8] May 3, 2017: https://twitter.com/googledocs/status/859879107349291008

[9] можно здесь: https://myaccount.google.com/intro/secureaccount

[10] Источник: https://geektimes.ru/post/288878/

Нажмите здесь для печати.