谷歌的戰鬥正在進行中。前幾天,一個重要的模糊的網路釣魚電子郵件冒充「Google Docs」品牌來誘騙使用者向惡意網站提供對其 Gmail 帳戶的存取權限。這使得攻擊者能夠竊取他們的通訊錄並發送新的網路釣魚訊息。波動如同蠕蟲一般,爆發性的蔓延開來。這就是為什麼谷歌立即做出反應,首先將該網站列入黑名單,然後將其刪除。
為什麼這種網路釣魚如此有效?因為它依賴 OAuth 協定的某種輕量級實作。這允許第三方網站或應用程式透過頒發安全令牌來存取線上帳戶的資訊。這個過程很正常,也很常見。要了解哪些網站或應用程式造訪您的 Google 帳戶,只需造訪該網站編輯。
使用者可以明顯地接受或拒絕授權。如果他在這種特定情況下落入陷阱,那是因為第三方網站冒充了 Google 產品,而 OAuth 存取驗證是在 Google 網域上完成的(這是完全正常的)。我們在任何地方都看不到可以提醒我們的第三方網站的 URL。也顯示漂亮的 Google 徽標,以消除網路使用者的疑慮。由於一切都一致,受害者完全有信心並接受所請求的授權,而沒有意識到她正在將狼帶入羊圈。
這項技術並不是什麼新鮮事。據 Motherboard 稱,安全研究員 André DeMarre 已於 2011 年就此類騙局向谷歌發出警報,論壇筆記。俄羅斯駭客 Pawn Storm(又名 APT28)也經常使用它。在最近的一次關係,TrendMicro 描述了一系列依賴 OAuth 的活動。在一個案例中,惡意網站冒充“Google Defender”,這是一種聲稱的 Google 安全服務。在另一個案例中,駭客在同一封電子郵件中欺騙了雅虎和麥克菲品牌。
如何保護自己?在 OAuth 驗證階段,應該已經明確提及第三方網站的 URL。目前,只有點擊第三方服務的名稱才能看到它,但並不是每個人都會這樣做。因此,我們建議您每次授權時都進行檢查。
然而,谷歌、雅虎和其他公司最好至少清理他們的 OAuth 程式。正如一位用戶正確指出的那樣,名為「Google Docs」的第三方服務可以獲得 Google 帳戶的授權令牌,這是不正常的。駭客新聞。無論如何,請立即清理您的授權應用程序,無論是使用您的 Google 帳戶或推特。
