Phishingové e-maily, které byly rozesílány asi tři hodiny před tím, než je společnost Google zastavila, vyzývaly příjemce, aby otevřel něco, co vypadalo jako dokument Google. Součástí textu bylo modré tlačítko, na němž stálo: „Otevřít v Docs.“
Odkaz ve skutečnosti směřoval k falešné aplikaci, která od uživatelů žádala povolení přístupu k jejich gmailovým účtům.
Uživatele to mohlo lehce splést, neboť aplikace nesla název Google Docs. Kromě toho žádala o přístup ke Gmailu pomocí skutečné přihlašovací služby Google.
Hackeři byli schopni útok rozjet zneužitím protokolu OAuth, což je způsob, jakým se internetové účty u Googlu, Twitteru, Facebooku a dalších služeb propojují s aplikacemi třetích stran.
Protokol OAuth nepřenáší žádné informace o heslech, ale namísto toho využívá speciální přístupové tokeny, které dokážou zajistit přístup k účtu.
V nesprávných rukou však může být OAuth nebezpečný. Zdá se, že útočníci stojící za úterním útokem vytvořili skutečnou aplikaci třetí strany, využívající procesy Googlu pro získání přístupu k účtu.
„Útok je poměrně chytrý a zneužívá vaši schopnost propojení svého účtu u Googlu s aplikací třetí strany,“ říká Mark Nunnikhoven, viceprezident cloudového výzkumu v bezpečnostní firmě Trend Micro.
Zneužití OAuth pro přístup k účtu je obzvláště prohnané, neboť takovým způsobem dokážete obejít potřebu ukrást něčí přihlašovací údaje nebo dokonce dvoufaktorové ověřování Googlu.
Podle společnosti Trend Micro využila podobnou metodu v dubnu ruská hackerská skupina známá pod názvem Fancy Bear, která podle mnoha expertů údajně pracuje pro ruskou vládu. Jenže tentokrát mají dotázaní experti za to, že za tímto útokem Fancy Bear nestojí. Je totiž podle nich příliš rozšířený a okatý.
Zatím se neobjevily informace o tom, že by útok probíhal v jiném jazyce než v angličtině. I tak ale buďte opatrní na to, co otevíráte, a raději si dvakrát ověřte, že přístup ke svým účtům skutečně dáváte do rukou někomu, komu věříte.
Zdroj: CIO.com