03.05.2017 | 22:46

Adam Haertle

Uwaga na wyjątkowo perfidny atak phishingowy na konto Google

Oglądamy codziennie różne ataki. Czasem gorsze, czasem lepsze. A czasem takie, że sami, patrząc na zrzuty ekranów, mówimy „Gdyby przyszedł do nas to trudno powiedzieć, czy na pewno byśmy rozpoznali”. To własnie jeden z nich.

Atak, który zrobił na nas takie wrażenie, pojawił się w skrzynkach użytkowników na całym świecie kilka godzin temu. Na początek pokażemy Wam, jak wygląda ekran po ekranie, a potem opiszemy, co tak naprawdę dzieje się pod spodem i jakich sztuczek użyli przestępcy. Do zobrazowania ataku wykorzystujemy film nagrany przez Zacha Latta.

Zaczyna się od zwykłej wiadomości z prośbą o zapoznanie się z dokumentem Google Docs.

Jeśli klikniecie w guzik „Open in Docs” traficie na prawdziwą stronę Google, z prawdziwym ekranem pytającym Was o to, którego konta chcecie użyć.

Jeśli zobaczycie co kryje się pod linkiem „Google Docs”, zobaczycie coś niepokojącego – adres email wyglądający na jakiegoś Rosjanina plus domenę, która także robi wrażenie podejrzanej. Gdy jednak nie klikniecie na link…

Tylko od razu wybierzecie konto, to dowiecie się, że aplikacja Google Docs chce czytać Waszą pocztę i zarządzać kontaktami. Ale przecież jesteście na stronie Google (wszystko się zgadza!) i to aplikacja Google, więc…

Jeśli wybierzecie opcję „Allow”, to właśnie oddaliście dostęp do swojego konta przestępcom i zmiana hasła nie pomoże. Jak do tego doszło?

Co się stało?

Przez cały czas trwania ataku przebywaliście tylko na stronie Google. Domena była prawidłowa, prawidłowy był certyfikat SSL. Przestępcy wykorzystali jednak bardzo sprytną sztuczkę, opisaną kilka dni temu przez firmę Trend Micro. Polega ona na kradzieży tokenu OAuth zamiast zwyczajowej kradzieży hasła. Token ten pozwala użytkownikom pozwolić aplikacji na dostęp do ich danych bez konieczności podawania jej swojego hasła. Przestępcy najpierw tworzą aplikację, którą nazywają na przykład Google Docs. Następnie zgłaszają ją do Google by mogła poprosić użytkowników o tokeny OAuth w celu uwierzytelnienia. W kolejnym kroku wysyłają phishing, w którym wskazują na link prowadzący do procesu uwierzytelnienia aplikacji. Link wygląda wiarygodnie, ponieważ prowadzi do serwerów Google. Aplikacja wygląda wiarygodnie, ponieważ ma „Google” w nazwie. Jeśli ktoś zgodzi się przyznać jej dostęp do swojej poczty, przestępcy dostają token OAuth, za pomocą którego mogą kontrolować pocztę ofiary.

Niestety oznacza to, że gdy ofiara ataku zmieni swoje hasło, to przestępcy nadal mają dostęp do jej konta. Dodatkowo dwuskładnikowe uwierzytelnienie nie chroni przed tym atakiem – sam właściciel konta daje dostęp do niego przestępcom. Aby faktycznie zabezpieczyć swoje dane trzeba odwiedzić listę aplikacji, które mają dostęp do konta Google, a następnie usunąć z niej wszystkie podejrzane pozycje (lub usunąć wszystkie a następnie dodać te potrzebne z zaufanych źródeł).

Jeśli otrzymaliście email z podobnym linkiem, dajcie nam znać.

Aktualizacja 23:00

Docierają do nas informacje, że złośliwa aplikacja, gdy już zdobędzie dostęp do Waszego konta, pobiera książkę adresową i wysyła wiadomości z Waszego konta do Waszych kontaktów – dlatego tez atak na Wasza skrzynkę może przyjść od kogoś, kogo znacie i komu ufacie. Przestępcy wykorzystują w ataku dziesiątki różnych domen typu docscloud|g-cloud|g-docs|gdocs.download|info|win|pro.

Powrót

Komentarze

  • 2017.05.03 23:50 Filip

    Zostałem zaatakowany dzisiaj. Rzeczywiście po autoryzacji aplikacja wysłała wiadomość do wszystkich odbiorców. Co mogę zrobić zeby się tego pozbyć ?!!

    Odpowiedz
    • 2017.05.03 23:51 Adam

      Przeczytać artykuł do końca.

      Odpowiedz
      • 2017.05.04 08:30 John

        :-D

        Odpowiedz
      • 2017.05.07 15:17 Arturs

        [img]https://img.memesuper.com/b44eadbef1fd5cbe5596f99c30544b29_lol-lolololol-face-meme-lol-no-meme_200-200.png[/img]

        Odpowiedz
    • 2017.05.04 00:30 tom

      Powinienes wysłać maila do wszystkich kontatów z ostrzeżeniem – bo inaczej inni rowniez wdepną.

      Odpowiedz
    • 2017.05.04 06:56 Zgred

      Zmienić hasła, nie otwierać plików, zainstalwoac jakieś dobrego antywira … Zabezpiecz się :)

      Odpowiedz
      • 2017.05.04 07:59 Heh

        @Zgred przeczytaj artykuł jeszcze raz, ale tym razem ze zrozumieniem. Na trzy Twoje rady dwie nie przystają do tematu w żaden sposób, bo na wykradziony token OAuth zmiana hasła nie pomoże, a i antywirus nie da rady jeśli sam oddajesz dostęp do konta przestępcom.

        Odpowiedz
      • 2017.05.04 08:48 Lukasz

        I kupic durexy

        Odpowiedz
      • 2017.05.04 08:49 c783rm3n

        Nie ma to jak rada Janusza informatyki :D
        – Proponuję aby kolega dał sobie spokój z komputerami i przerzucił się na hodowlę mrówek xD

        Odpowiedz
        • 2017.05.04 09:49 szumgum

          A można wyżyć z hodowli mrówek? Bo może by tak „p*olnąć tym wszystkim, wyjechać w Bieszczady i założyć hodowlę mrówek” nie jest takim złym pomysłem?

          Odpowiedz
      • 2017.05.07 17:26 Pas

        Zgredu miszczu! (y)

        Odpowiedz
      • 2017.05.13 04:33 SasQ

        Jak to mówią, darmowa porada jest warta każdej wydanej na nią złotówki :q

        Odpowiedz
  • 2017.05.04 01:50 BlindGhost

    Dobrze ze ja nie sprawdzam takich wiadomości tylko od razu je kasuje, nawet od znajomych :D

    Odpowiedz
  • 2017.05.04 02:14 fff

    „Przestępcy najpierw tworzą aplikację, którą nazywają na przykład Google Docs. Następnie zgłaszają ją do Google by mogła poprosić użytkowników o tokeny OAuth w celu uwierzytelnienia.”
    I google im pozwala na podszywanie się?

    Odpowiedz
    • 2017.05.13 04:34 SasQ

      A co im szkodzi? Oni mają tyle kasy, że od dawna mają już wyj***ne na wszystko i wszystkich :q

      Odpowiedz
  • 2017.05.04 03:41 Szymon

    Dwa lata temu, ostrzegałem Google, mam z nimi bogatą korespondencje na ten temat. Jest jeszcze jeden, znacznie gorszy temat, z dostępem do poczty. Pozwala przestępcy który raz dostał dostęp do konta na ominięcie oauth, zmianę hasła i dwuetapowe logowanie…

    Odpowiedz
    • 2017.05.07 17:30 Pas

      Podziel się proszę wiedzą.

      Odpowiedz
  • 2017.05.04 07:06 KrissN

    Wygląda na to, że Google już wyłączyło podejrzane konta i obiecuje pracę nad uniemożliwieniem podobnych ataków w przyszłości.

    https://twitter.com/googledocs/status/859895400173522944

    Odpowiedz
  • 2017.05.04 08:30 Cysiek

    Kto normalny klika w nieznane dokumenty docs ;D

    Odpowiedz
    • 2017.05.04 09:56 Lucjusz

      Dokładnie?

      Odpowiedz
    • 2017.05.04 09:56 Lucjusz

      Zgadza się ?

      Odpowiedz
    • 2017.05.04 10:13 skwzd

      Osoby w wieku 30+ które nie siedzą w temacie i którym nie wytłumaczyło się, że nie otwiera się wszystkiego na poczcie.

      Odpowiedz
      • 2017.05.04 11:45 Kress

        Generalizujesz. Nie każdy po 30stce jest panią Grażynką w urzędzie. Powiedziałbym, że to raczej niedouczona gimbaza klika we wszystko.

        Odpowiedz
        • 2017.05.04 18:44 QQQ

          Niestety, ale się z tym nie zgodzę.

          Odpowiedz
        • 2017.05.04 19:48 Michał

          30+? Serio? Jakies badania przeprowadziles? Jak ja siedzialem przy kompie to takie komputerowe asy jak ty, bawili sie psimi kupami w piaskownicy.

          Odpowiedz
          • 2017.05.05 09:41 KaCzKa

            No cóż, za to ty jesteś stary (ja też, żeby nie było), a oni młodzi. I kto ma lepiej?

      • 2017.05.04 12:25 LL

        A ja mam 35+ i nie klikam w nieznane dokumenty. Ba! Wszystkie ładnie lądują w spamie.

        Odpowiedz
      • 2017.05.04 19:04 wapniak Internetu

        hahaha, osoby 30+ przeglądały Internet na urządzeniach 56k i mniejszych, gdy ty robiłeś w pieluchę :P PLONK, BPNMSP

        Odpowiedz
      • 2017.05.05 07:37 Dest

        Ja i wiele osob tutaj jest 30+ i to co piszesz ;) to sie raczej malo tyczy wieku. Trzeba poprostu myslec. Pozatym nie kazdy siedzi tematyce security. Znam specialistow z infosec ktorzy maja 50 lat i sa w tym swietni

        Odpowiedz
      • 2017.05.06 00:17 Woj

        Ja zawsze otwieram już na poczcie. Nie daję rady do domu donieść ;)

        Odpowiedz
    • 2017.05.04 12:03 Normalny

      Ktos, kto prowadzi dziesiatki szkolen z wykorzystania googledocsow i dostaje dziesiatki zaproszen od swiezych uzytkownikow, ktorzy sie ucza pracy w chmurze.

      Odpowiedz
    • 2017.05.04 13:47 ubicz

      No cóż, jeżeli dostajesz tę wiadomość od zainfekowanego znajomego to zmienia postać rzeczy…

      Odpowiedz
  • 2017.05.04 08:45 sputnik

    Zrobię aplikacje 'guwnomail – ssie’ i poprosze google o autoryzacje :P

    Odpowiedz
  • 2017.05.04 09:03 Joanna

    Czy mam rozumieć,że jeśli aplikacje,które mam na liście mających dostęp do mojego konta,nie mają PEŁNEGO dostępu,tylko dostęp do google play lub postępów w grze to mogę być spokojna?

    Odpowiedz
    • 2017.05.04 11:56 Pawel

      W teorii tak, w praktyce polecam nastepujace podejście:
      przeglądam liste aplikacji, które mają jakiekolwiek uprawnienia do mojego konta i jesli aplikacja jest mi nieznana, albo nie pamiętam żeby ją dodawał, albo nie rozumiem dlaczego aplikacja chce uprawnienia do mojego konta to ją wywalam. W najgorszym wypadku przy kolejnym uruchomieniu aplikacji będę musiał udzielić jej uprawnien ponownie.

      Ale tak z grubsza to uprawnienia do 'google play’ czy 'postepów w grze’ to raczej bezpieczna sprawa, więc wg mnie nie ma powodów do obaw.

      Odpowiedz
  • 2017.05.04 09:27 Rozbawiony

    „Zaczyna się od zwykłej wiadomości z prośbą o zapoznanie się z dokumentem Google Docs.” – w tym momencie przestalem czytac. To ma byc ten niby perifny atak? Chyba tylko dla targetu fejsidioty.

    Odpowiedz
    • 2017.05.04 11:07 Ja

      Gdybyś doczytał do końca, dowiedziałbyś się, że email może przyjść od twojego znajomego. Załóżmy, że nad czymś razem pracujecie, i czekasz na jakiś dokument od niego. Czy ty byś się od razu domyślił, że to nie ten dokument? :)

      Odpowiedz
      • 2017.05.04 12:34 dfgdfgdbdf

        jakbym dostał wiadomość od znajomego o treści „dear znajomych, prosze klikniecie w tutaj link!” to chyba zapaliłaby ci się w głowie jakaś malutka, czerwona lampeczka

        Odpowiedz
        • 2017.05.04 13:19 Mikunda

          Niektórzy pracują z osobami, których pierwszym językiem nie jest polski ani angielski. W moich mailach od współpracowników często dostaję mieszankę polsko-angielską więc gdybym otrzymał info od współpracowników z Chin lub Francji z łamaną polszczyzną czy angielskim, z prośbą o zapoznanie się z dokumentem google pewnie nie węszyłbym spisku.

          Odpowiedz
        • 2017.05.07 17:38 Pas

          Czołem ten może zawiera nie zgrabne napisaną wiadomość w polskim języku… następny może być napisany perfekt po polsku i jeszcze z nazwiskiem nadawcy które będzie zgodne z personaliami współpracownika.

          Traktuj artykuł technicznie.

          … BTW pierwszy phising jaki wywalałem skryptami do spamu były jakby z google translatora z ~20 lat temu… Zapewniam cię że dziś tłumaczone tą samą metodą wyglądają znaaacznie lepiej :)

          Odpowiedz
    • 2017.05.04 11:11 gqr

      Ale wiesz że na Gmailu są nie tylko prywatne konta?
      W większości firm takie powiadomienie jest czymś powszechnym.

      Chodzisz jeszcze do szkoły albo sam budujesz całą infrastrukturę swojej firmy. W obu przypadkach gratuluję pewności siebie. :)

      Odpowiedz
    • 2017.05.04 14:39 Henryk546

      Jeśli ktoś, w ramach obowiązków w pracy, musi odbierać dziesiątki maili dziennie od np klientów, to co w tym dziwnego? A atak jest ciekawy, bo pracownicy (i nie tylko) są uczeni by nie otwierać *pobranych* dokumentów od niezaufanych źródeł, a tutaj wszystko się dzieje w chmurze, a przez przeglądarkę wygląda wszystko jak zaufana strona i zaufana aplikacja Webowa.

      Odpowiedz
  • 2017.05.04 10:33 oauth

    Czemu piszecie o kradzieży tokenu? Wszystko odbywa się zgonie ze specyfikacją protokołu. Atak polega tylko na stworzeniu aplikacji o wprowadzającej w błąd nazwie.

    Odpowiedz
  • 2017.05.04 10:35 Zielony Inwalida Umysłowy

    Google samo przyzwyczaja nas do rozdawania uprawnień, przykładem jest „Google Chrome ma dostęp do: Pełny dostęp do konta”.

    Po co przeglądarce WWW nieograniczone uprawnienia do konta google? Dlaczego użytkownik nie może swobodnie ograniczać aplikacjom dostępu do konta?

    Dlaczego wprowadzono kategorię „Pełny dostęp do konta”?

    To podatność na którym google jeszcze nie raz się wyłoży :)

    Odpowiedz
  • 2017.05.04 11:14 Artur

    Warto zwrócić uwagę na fakt, że to jest tylko realizacja schematu ataku na token autoryzacyjny. Równie dobrze może dotyczyć facebooka, twittera czy dowolnej usługi oferującej api do wymiany danych i autoryzacji takim tokenem…
    Perfidia tego ataku polega na praktycznym ominięciu wszystkich porad antyphishingowych jakie są obecnie popularyzowane.
    A jako socjotechnika wykorzystuje emocje jak zwykle…
    Miejcie się zatem na baczności i pamiętajcie, że po drugiej stronie „internetu” siedzi człowiek – zły czy dobry, swój czy obcy – warto spróbować się dowiedzieć, zanim zaufacie wiadomości od niego/niej.
    Najprostsze metody są najlepsze: STOP-THINK-CONNECT czyli najpierw się zatrzymaj, potem zastanów co możesz stracić i dopiero działaj…

    Odpowiedz
    • 2017.05.05 18:00 roman

      A jaką mam gwarancje że to właśnie nie wy mieszacie? Danych jest tyle że nikt tego do końca nie skuma… a w gąszczu możecie wysłać co chcecie?!

      Odpowiedz
  • 2017.05.04 14:52 Tomek

    To ja chyba jestem jakiś dziwny, bo ten cały „atak” zatrzymałby się na tym, że skasowałbym wiadomość od nieznanej mi osoby. Ta wiadomość od razu wygląda jak jakiś spam w kontekście tego, że przeważnie jak ktoś mi coś udostępnia na Google Drive to jest to poprzedzone jakąś rozmową / chatem. Pomijam już kwestię dawania tej aplikacji jakichkolwiek uprawnień do czytania poczty :).

    Odpowiedz
    • 2017.05.04 21:57 Adam

      Tylko że email przyszedłby od znanej Ci osoby.

      Odpowiedz
  • 2017.05.04 16:04 Daniel

    W firmie ktorej pracuje dostalo ten email ponad 20000 ludzi, jak myslicie ile z nich kliknelo? (pare setek)
    Koledzy z CISRT mieli duzo roboty, z tego co wiem to maile poszly do najwiekszych korporacji na swiecie.

    Przez pewien czas google drive tez lezalo.

    Odpowiedz
  • 2017.05.07 19:16 karol78

    Witam. Jak to jest że tyle ludzi dostaje takie właśnie maile. Ja przed chwilą sprawdziłem swoje konto, i nie mam nic takiego. Amoże jest to wynikiem, że ludzie klikają i maile podają gdzie popadnie.

    Odpowiedz
    • 2017.05.09 23:24 darek

      kyrie elejson…

      Odpowiedz
  • 2017.07.16 19:10 Grześ

    Witam
    Przejęcie skrzynki czasami ma opłakane skutki , mojego znajomego przez podrabianie e-maili wykręcili na 500 tys pln .
    Schemat był prosty , mój znajomy handluje z dalekim wschodem zamówił kontener towaru było wszystko dogadane firma wysłała proformę do zapłaty on zaplacił tylko że proform już wystawili przestępcy .
    A prokuratura nic nie może zrobić bo pieniądze popłyneły do Afryki rachunek bankowy również po wypłaci środków został zamknięty .
    TO TAKA PRZESTROGA !!!! DLA WSZYSTKICH SPRAWDZAJCIE DOKŁADNIE GDZIE WYSYŁACIE PIENIĄDZE

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na wyjątkowo perfidny atak phishingowy na konto Google

Komentarze