Több felhasználó is felfigyelhetett szerdán olyan gyanús, ismerősöktől érkező levelekre, amik egy Google dokumentum szerkesztésére kérték fel őket. Ha a levelet indokolatlanul kaptuk, és a kattintás után sem történt semmi, gyanítható:
A levél küldője látszólag egy olyan személy, aki szerepel a célpont kontaktlistáján, a tárgy pedig arról árulkodik, hogy egy Google Docs linken keresztül kér fel dokumentum szerkesztésére.
A módszer az átlagos phishing módszereknél jóval kifinomultabb. Az adathalász támadások során a támadók általában hamis e-mailekkel, valódi weboldalak utánzásával próbálják rávenni a célpontot arra, hogy személyes információkat osszon meg magáról.
Az újfajta gmailes-támadás különlegessége, hogy nem egy hamis Google-oldalra vezeti a felhasználót at adatlopáshoz, helyette a Google rendszerét használja ki, hogy egy külsős, de magát Google Docsnak álcázó appnak jogosultságot szerezzen.
Zach Latta, San Franciscó-i hacker egy GIF-fel tette szemléletesebbé a folyamatot:
- Amikor a célpont a levélben küldött linkre kattint, az átirányítja a Google valódi bejelentkezési felületére, ahol ki kell választani a használni kívánt fiókunkat. A login ablakban semmi sem tűnik gyanúsnak: megvan a https protokoll, és a zöld lakat használata is, amelyek a biztonságos kapcsolatot jelzik.
- Ezen a panelen egyben jogosultságot kér a rendszer a levelekhez és a névjegylistához a Google Docs számára, ami valójában egy hamis Google Docs appot takar.
- Ezután a hamis app hozzáférhet a felhasználó kontaktlistájához, így az ismerősöknek, üzlettársaknak is elkezdi küldözgetni a phishing levelet a célpont nevében.
A támadás áldozatai főleg újságírók voltak a visszajelzések szerint: először a BuzzFeed szerkesztője, Joe Bernstein jelezte azt Twitteren. Mivel a támadás a célpont kapcsolatait is tovább fertőzi, más médiamunkások is hamar megkapták a leveleket, de hatékonysága miatt gyakorlatilag bárkihez eljuthattak.
Mi is láttunk tegnap hasonlót?
Ha úgy gondoljuk, hogy hozzánk is eljutott hasonló levél a tegnapi nap folyamán, pár kattintással megoldhatjuk a helyzetet. A Google-fiókunk beállításai közt nézzünk rá a Társított alkalmazások és webhelyek listájára, ezen belül is a fiókhoz kapcsolt alkalmazásokra. Ha itt találjuk a Google Dokumentumokat, az valószínűleg a hamis app, rögtön távolítsuk el. A biztonság kedvéért pedig módosítsunk jelszót, és használjuk a kétfaktoros azonosítást is.
A Google azóta a hivatalos Google Docs Twitter-fiókon keresztül közölte, hogy a szükséges intézkedéseket megtette, és elhárította az adathalász fenyegetéseket. Letiltották a támadó fiókokat, eltávolították a hamis oldalakat, és frissítették a Safe Browsing böngészős szűrőt is.