Google文档网络钓鱼攻击强调OAuth安全风险
谷歌停止了周三聪明的电子邮件网络钓鱼计划,但攻击可能很好地卷土重来。
即使谷歌正在尝试保护用户免受这样的攻击,一名安全研究员已经成功复制了它。
“它看起来就像原来的欺骗一样,”对比度安全的安全研究总监Matt Austin说。
网络钓鱼计划 - 可能已经分发到100万元的Gmail用户 - 特别有效,因为它愚弄了一个看起来像Google文档的虚拟应用程序的用户。
收到收到电子邮件的收件人单击一个“在文档中打开”的蓝色框。那些被带到实际的Google帐户页面的人,要求他们切换到虚拟应用程序的Gmail。
虽然用欺骗电子邮件欺骗用户,但周三的攻击涉及使用真正的Google进程制作的实际第三方应用程序。该公司的开发人员平台可以使任何人能够创建基于Web的应用程序。
在这种情况下,罪魁祸首选择将应用程序“Google文档”命名为欺骗用户。
搜索公司通过删除该应用程序来关闭攻击。它还禁止其他开发人员使用“Google”来命名其第三方应用程序。
然而,奥斯汀发现他仍然可以重现星期三的网络钓鱼计划。他这样做,通过使用搜索公司的开发人员平台来创建自己的第三方应用程序,也称为“Google文档”。
迈克尔·坎安全研究员Matt Austin使用西里尔剧本复制了星期三的网络钓鱼攻击。
唯一的区别是奥斯汀使用了在俄罗斯使用的西里尔字符,在他的应用名称中的字母“o”。
“西里尔字母O看起来与其他字母O完全相同,”奥斯汀说。然后,他在周三的休息中复制了剩下的攻击,创建使用相同的设计界面的假电子邮件。
Austin已将安全问题提交给Google,现在其开发人员平台不再接受该名称下的应用程序。然而,他和其他安全专家预测,糟糕的演员也在努力复制周三的袭击。
“毫无疑问,这将再次重复,”Cisco CloudLock Cyber Cyber Slabs的董事Ayse Kaya表示,安全提供商。“这可能会频繁发生。”
更传统的网络钓鱼电子邮件方案可以通过欺骗用户放弃登录凭据来罢工。然而,星期三的攻击采取了不同的方法,并滥用了名为OAuth协议的方法,是互联网帐户与第三方应用程序的链接的便捷方式。
通过OAuth,用户不必交出任何密码信息。它们反而授予许可,以便在谷歌,谷歌,Facebook或Twitter上,一个第三方应用程序可以连接到他们的互联网账户。
但像任何技术一样,可以利用OAuth。回到2011年,一个开发人员甚至警告说,该协议可以用冒充Google服务的应用程序使用的应用程序。
尽管如此,OAuth已成为在其中使用的流行标准。CloudLock发现超过276,000个应用程序通过谷歌,Facebook和Microsoft Office 365等服务使用该协议。
有助于企业实施OAuth的IT顾问表示,谷歌自己的网络钓鱼计划是什么,谷歌自己的服务并没有做到这一点。
例如,Dummy Google Docs应用程序已注册到[email protected]的开发人员 - 产品不是真实的红旗。
但是,虚拟应用程序仍然设法欺骗用户,因为谷歌自己的帐户权限页面从未明白地列出了开发人员的信息,除非用户点击页面以找出,Parecki表示。
CloudLock.如果鼠标悬停在产品信息上,则只会出现假冒Google文档应用程序背后的开发人员。
“我很惊讶谷歌并没有显示与这些应用程序的许多识别信息,”他说。“这是可能出现问题的一个很好的例子。”
Parecki说,而不是隐藏这些细节,而不是隐藏这些细节,所有它应该向用户展示。
AUSTIN同意,要求要求Gmail的应用程序应包括更明显的警告,而不是用户交换的内容。
“我不在OAuth讨厌Bandwagon。奥斯汀说,我认为它是有价值的。““但它有一些风险。”
幸运的是,谷歌能够快速融合周三的攻击,并正在引入“反滥用系统”,以防止它再次发生。可能受到影响的用户可以进行Google安全检查,以查看何种应用程序已连接到其帐户。
该公司的Gmail Android应用程序还在推出一个新的安全功能,以警告用户可能的网络钓鱼尝试。
它诱人安装应用程序并假设他们安全。但是,在将账户链接到第三方应用程序时,用户和企业需要小心,这可能要求比他们需要的更多访问,CloudLock的Kaya说。
“黑客有一个墓地利用这种攻击,”她说。“所有公司都需要考虑这一点。”
