Több felhasználó is felfigyelhetett szerdán olyan gyanús, ismerősöktől érkező levelekre, amik egy Google dokumentum szerkesztésére kérték fel őket. Ha a levelet indokolatlanul kaptuk, és a kattintás után sem történt semmi, gyanítható:
A levél küldője látszólag egy olyan személy, aki szerepel a célpont kontaktlistáján, a tárgy pedig arról árulkodik, hogy egy Google Docs linken keresztül kér fel dokumentum szerkesztésére.
Phishing (or malware) Google Doc links that appear to come from people you may know are going around. DELETE THE EMAIL. DON’T CLICK. pic.twitter.com/fSZcS7ljhu
— Zeynep Tufekci (@zeynep) 2017. május 3.
A módszer az átlagos phishing módszereknél jóval kifinomultabb. Az adathalász támadások során a támadók általában hamis e-mailekkel, valódi weboldalak utánzásával próbálják rávenni a célpontot arra, hogy személyes információkat osszon meg magáról.
Az újfajta gmailes-támadás különlegessége, hogy nem egy hamis Google-oldalra vezeti a felhasználót at adatlopáshoz, helyette a Google rendszerét használja ki, hogy egy külsős, de magát Google Docsnak álcázó appnak jogosultságot szerezzen.
@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta (@zachlatta) 2017. május 3.
Zach Latta, San Franciscó-i hacker egy GIF-fel tette szemléletesebbé a folyamatot:
- Amikor a célpont a levélben küldött linkre kattint, az átirányítja a Google valódi bejelentkezési felületére, ahol ki kell választani a használni kívánt fiókunkat. A login ablakban semmi sem tűnik gyanúsnak: megvan a https protokoll, és a zöld lakat használata is, amelyek a biztonságos kapcsolatot jelzik.
- Ezen a panelen egyben jogosultságot kér a rendszer a levelekhez és a névjegylistához a Google Docs számára, ami valójában egy hamis Google Docs appot takar.
- Ezután a hamis app hozzáférhet a felhasználó kontaktlistájához, így az ismerősöknek, üzlettársaknak is elkezdi küldözgetni a phishing levelet a célpont nevében.
A támadás áldozatai főleg újságírók voltak a visszajelzések szerint: először a BuzzFeed szerkesztője, Joe Bernstein jelezte azt Twitteren. Mivel a támadás a célpont kapcsolatait is tovább fertőzi, más médiamunkások is hamar megkapták a leveleket, de hatékonysága miatt gyakorlatilag bárkihez eljuthattak.
Mi is láttunk tegnap hasonlót?
Ha úgy gondoljuk, hogy hozzánk is eljutott hasonló levél a tegnapi nap folyamán, pár kattintással megoldhatjuk a helyzetet. A Google-fiókunk beállításai közt nézzünk rá a Társított alkalmazások és webhelyek listájára, ezen belül is a fiókhoz kapcsolt alkalmazásokra. Ha itt találjuk a Google Dokumentumokat, az valószínűleg a hamis app, rögtön távolítsuk el. A biztonság kedvéért pedig módosítsunk jelszót, és használjuk a kétfaktoros azonosítást is.
A Google azóta a hivatalos Google Docs Twitter-fiókon keresztül közölte, hogy a szükséges intézkedéseket megtette, és elhárította az adathalász fenyegetéseket. Letiltották a támadó fiókokat, eltávolították a hamis oldalakat, és frissítették a Safe Browsing böngészős szűrőt is.
We’ve addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Google Docs (@googledocs) 2017. május 3.
