- PVSM.RU - https://www.pvsm.ru -
Источник: Techcrunch
Вот уже пару дней интернет-пользователи получают сообщения в Gmail со ссылкой на некий документ Google Docs внутри. На эту ссылку не стоит кликать даже в том случае, если сообщение пришло от знакомого человека. Дело в том, что эту ссылку рассылает зловредное ПО, созданное неизвестной пока командой киберпреступников. Выглядит все вполне невинно: некто (скажем, ваш начальник, коллега или друг) делится через Gmail ссылкой на документ. Если перейти по ссылке, то зловредное ПО может получить доступ к Gmail-аккаунту жертвы.
Этот зловред, кроме прочих данных, анализирует список контактов пользователей и начинает спамить. Кроме того, malware еще и «читает» письма жертвы и «отвечает» на эти письма. Тем и опасна эта фишинг-атака, что ссылки на документы в Google Docs приходят от знакомых людей, во многих случаях — в качестве ответа на отправленное ранее письмо.
Правда, внимательный пользователь все же заметит некоторые нюансы при переходе на ссылку. А именно — «документ» запрашивает доступ к некоторым функциям аккаунта пользователя. Обычный документ Google Docs так себя не ведет. Но если об этом не знать (а большинство пользователей — не знают или не задумываются), то подозрений «документ» не вызовет. В том и проблема — очень многие пользователи кликают по ссылке и без проблем дают malware все, что оно запрашивает.
Источник: reddit
Самое интересное, что зловред умеет обходить двухфакторную аутентификацию. Его действия также не вызывают подозрения у системы безопасности Google — никаких сообщений о необычной активности аккаунта пользователи не получают. Ну а поскольку malware получает от пользователя высший уровень доступа к аккаунту, то злоумышленники могут получить любую [1] информацию, которую заходят.
Если вдруг вы оказались в числе пострадавших, то необходимо, в первую очередь, отозвать [2] разрешения на доступ к аккаунту у зловреда. Если это ПО уже успело отправить письма вашим контактам, стоит написать им «вдогонку», объяснив ситуацию. Если вы получаете сообщения с упомянутыми ссылками, то стоит также написать тем, кто их отправляет, чтобы предупредить пострадавших пользователей об опасности.
На момент публикации этого материала Google уже заявил о ликвидации проблемы, но все же стоит быть настороже. Сейчас, возможно, распространение ссылок такого типа уже стало невозможным [3], но до исправления проблемы компанией malware разослало сотни тысяч таких сообщений.
Корпорация Google официально заявила следующее: «Мы приняли меры по защите пользователей от компрометации email-аккаунтов ссылками Google Docs, убрав возможность доступа к аккаунтам. Мы также убрали фейковые страницы и предоставили обновления через Safe Browsing [4]. Наша команда работает для того, чтобы не допустить подобного впредь. Мы просим пользователей сообщать [5] о подобных ситуациях».
Представитель компании также сделал заявление, согласно которому пострадали лишь 0,1% пользователей сервисов Google. Но и это немало, получается, что от действий злоумышленников пострадал примерно 1 миллион человек. И это несмотря на то, что Google ликвидировал уязвимость и само зловредное ПО уже через час после начала работы злоумышленников.
Компания также заявила следующее: «Мы защитили наших пользователей от этих атак, используя автоматические действия и работая „вручную“. Эти действия предусматривают удаление фейковых страниц и приложений… Изучение ситуации показало, что другие данные оказались не затронутыми. Пользователям не нужно предпринимать никаких дальнейших действий в свете происшедшего».
Просмотреть список приложений и сервисов, которые имеют доступ к вашему аккаунту можно здесь [9].
Действия сотрудников компании были быстрыми и эффективными, но все же возникает вопрос — сколько еще уязвимостей такого типа могут использовать злоумышленники? В любом случае, решить проблему можно и без Google, если быть внимательным, но в процессе активной работы над чем-то можно просто не обратить внимание на странности пришедшего сообщения и кликнуть на ссылку, подтвердив доступы. От такого не застрахован никто.
Автор: marks
Источник [10]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/254444
Ссылки в тексте:
[1] получить любую: https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/
[2] отозвать: https://myaccount.google.com/permissions
[3] стало невозможным: https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/dh36pv2/
[4] Safe Browsing: https://safebrowsing.google.com/
[5] сообщать: https://support.google.com/mail/answer/8253?hl=en
[6] May 3, 2017: https://twitter.com/googledocs/status/859878989250215937
[7] May 3, 2017: https://twitter.com/googledocs/status/859879050738753536
[8] May 3, 2017: https://twitter.com/googledocs/status/859879107349291008
[9] можно здесь: https://myaccount.google.com/intro/secureaccount
[10] Источник: https://geektimes.ru/post/288878/
Нажмите здесь для печати.