Источник: Techcrunch
Вот уже пару дней интернет-пользователи получают сообщения в Gmail со ссылкой на некий документ Google Docs внутри. На эту ссылку не стоит кликать даже в том случае, если сообщение пришло от знакомого человека. Дело в том, что эту ссылку рассылает зловредное ПО, созданное неизвестной пока командой киберпреступников. Выглядит все вполне невинно: некто (скажем, ваш начальник, коллега или друг) делится через Gmail ссылкой на документ. Если перейти по ссылке, то зловредное ПО может получить доступ к Gmail-аккаунту жертвы.
Этот зловред, кроме прочих данных, анализирует список контактов пользователей и начинает спамить. Кроме того, malware еще и «читает» письма жертвы и «отвечает» на эти письма. Тем и опасна эта фишинг-атака, что ссылки на документы в Google Docs приходят от знакомых людей, во многих случаях — в качестве ответа на отправленное ранее письмо.
Правда, внимательный пользователь все же заметит некоторые нюансы при переходе на ссылку. А именно — «документ» запрашивает доступ к некоторым функциям аккаунта пользователя. Обычный документ Google Docs так себя не ведет. Но если об этом не знать (а большинство пользователей — не знают или не задумываются), то подозрений «документ» не вызовет. В том и проблема — очень многие пользователи кликают по ссылке и без проблем дают malware все, что оно запрашивает.
Источник: reddit
Самое интересное, что зловред умеет обходить двухфакторную аутентификацию. Его действия также не вызывают подозрения у системы безопасности Google — никаких сообщений о необычной активности аккаунта пользователи не получают. Ну а поскольку malware получает от пользователя высший уровень доступа к аккаунту, то злоумышленники могут получить любую информацию, которую заходят.
Если вдруг вы оказались в числе пострадавших, то необходимо, в первую очередь, отозвать разрешения на доступ к аккаунту у зловреда. Если это ПО уже успело отправить письма вашим контактам, стоит написать им «вдогонку», объяснив ситуацию. Если вы получаете сообщения с упомянутыми ссылками, то стоит также написать тем, кто их отправляет, чтобы предупредить пострадавших пользователей об опасности.
На момент публикации этого материала Google уже заявил о ликвидации проблемы, но все же стоит быть настороже. Сейчас, возможно, распространение ссылок такого типа уже стало невозможным, но до исправления проблемы компанией malware разослало сотни тысяч таких сообщений.
Корпорация Google официально заявила следующее: «Мы приняли меры по защите пользователей от компрометации email-аккаунтов ссылками Google Docs, убрав возможность доступа к аккаунтам. Мы также убрали фейковые страницы и предоставили обновления через Safe Browsing. Наша команда работает для того, чтобы не допустить подобного впредь. Мы просим пользователей сообщать о подобных ситуациях».
Представитель компании также сделал заявление, согласно которому пострадали лишь 0,1% пользователей сервисов Google. Но и это немало, получается, что от действий злоумышленников пострадал примерно 1 миллион человек. И это несмотря на то, что Google ликвидировал уязвимость и само зловредное ПО уже через час после начала работы злоумышленников.
Компания также заявила следующее: «Мы защитили наших пользователей от этих атак, используя автоматические действия и работая „вручную“. Эти действия предусматривают удаление фейковых страниц и приложений… Изучение ситуации показало, что другие данные оказались не затронутыми. Пользователям не нужно предпринимать никаких дальнейших действий в свете происшедшего».
Просмотреть список приложений и сервисов, которые имеют доступ к вашему аккаунту можно здесь.
Действия сотрудников компании были быстрыми и эффективными, но все же возникает вопрос — сколько еще уязвимостей такого типа могут использовать злоумышленники? В любом случае, решить проблему можно и без Google, если быть внимательным, но в процессе активной работы над чем-то можно просто не обратить внимание на странности пришедшего сообщения и кликнуть на ссылку, подтвердив доступы. От такого не застрахован никто.
Комментарии (16)
sotnikdv
04.05.2017 14:41Гм… то-то у меня гмыло сегодня попросило залогиниться повторно. Я скоро по этим внезапным слетам аутентификации буду предсказывать хаки гугловых сервисов и писать статьи «Еще нет деталей, но у гугла опять security issue».
Хотя может сбрасывают только в определенных странах, типа США или регионовisden
04.05.2017 15:42У меня корп. гмыло стабильно примерно пару раз в неделю сбрасывается. Галактеко опасносте?
VioletGiraffe
04.05.2017 20:52У меня обычное мыло, со времени переустановки ОС 1.5 года назад ни разу не разлогинивало, кажется.
slavius
05.05.2017 09:01Выхожу из аккаунта после использования почты. Нужно — зашел, посмотрел, вышел.
pfa
04.05.2017 23:57+3Описание длинное, но механизмы работы зловреда не раскрывает никак.
Чуть подробностей, т.к. корпоративный gmail нашей компании был также затронут.
Итак, что происходит:
Ничего не подозревающий пользователь получает письмо от знакомого такого вида:
С такими заголовками:
Received: from 946634442539 named unknown by gmailapi.google.com with HTTPREST; Wed, 3 May 2017 11:54:31 -0700
…
X-Original-Sender: <тут gmail-почта отправителя>
X-Original-Authentication-Results: mx.google.com;
dkim=pass header.i=@xxx;
spf=pass (google.com: domain of xxx designates yyy as permitted sender) smtp.mailfrom=xxx;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=xxx
То есть письмо выглядит отправленным через gmail api оригинальным отправителем (человеком, с которым жертва вела переписку).
В компаниях, использующих корпоративный gmail и google docs подобные емейлы — обычное ежедневное дело и никаких подозрений не вызывают (ну, разве что hhhhh@mailinator.org в поле To наводит на подозрения).
При клике на ссылку человек попадает на стандартный гугловый запрос доступа к почте внешним приложением, названным Google Docs (скриншота не сохранилось, к сожалению), и многие кликают на Allow автоматически.
После этого приложение вытягивает список контактов и от имени пользователя производит по ним рассылку. Все, цикл замкнулся.
Добавлю, что пока никаких признаков вредоносности (выгрузка почты, трояны и т.д.) не замечено — выглядит как proof of concept атаки, вышедший из-под контроля. Но IT security вчера бегали как наскипидаренные, шутка ли — потенциальная возможность утечки почты работников, включая менеджмент, плюс если бы в разрешениях был google drive — еще и потенциальная возможность утечки всей корпоративной документации.catharsis
05.05.2017 01:47а куда все же ведет ссылка «Open in Docs»? В Google Docs или на сторонний ресурс?
Если первое, то интересно, какие приложения можно хостить в Docs,
Если второе, то вряд ли оно «вышло из-под контроля».pfa
05.05.2017 02:50+1«Приложение» в данном контексте — что угодно, использующее API сервисов гугла. В этом смысле даже ГТ — приложение, т.к. он позволяет логиниться через гуглоучетку.
Для того, чтобы приложение получило доступ к определенным данным пользователя, оно должно показать пользователю гуглостраничку такого типа, где пользователь нажмет «разрешить».
Проблема в том, что пользователи к этой страничке привыкли за годы логина на разные сайты через гугл и сразу нажимают Accept, а списочек разрешений маленькими черными буквами никто не читает, особенно если вверху написано «Google Docs would like you to» (где Google Docs — произвольная строка, обозначающая приложение, к гуглу отношения не имеющая).
Я давно считаю, что все более-менее подозрительные или потенциально опасные разрешения должны быть написаны большими красными буквами, чтобы выделять из серии однотипных логин-реквестов, но у гугла свое видение пользовательской безопасности.
a5b
05.05.2017 02:59Судя по статье arstechnica, ведет на страницу Google для OAuth авторизации , которая предоставит доступ к данным аккаунта стороннему приложению, названному "Google Docs"
https://arstechnica.com/security/2017/05/dont-trust-oauth-why-the-google-docs-worm-was-so-convincing/
"Don’t trust OAuth: Why the “Google Docs” worm was so convincing" — RON AMADEO — MAY 3, 2017
When you click on it, you get a real Google login page from Google's servers.
Then you get a real OAuth permissions page, also from Google's servers.
The fake thing here is the app. It's a third-party app named "Google Docs" with the Google Docs icon as its profile picture. It wants full control over your e-mail.
Real, verifiable info is only shown when you click on the drop down. Who is "eugene.pupov@gmail.com"? He's not Google!
https://cdn.arstechnica.net/wp-content/uploads/2017/05/google-phish-4-980x734.png
https://cdn.arstechnica.net/wp-content/uploads/2017/05/53.pngslavius
05.05.2017 09:05А как создать стороннее приложение с названием «Google Docs»? Аккаунт с таким или похожим точно не дадут, неужто приложения можно?
LoadRunner
Если 0,1% — это миллион, то 100% — это миллиард? Неужели почтой гугла пользуется миллиард человек?
Ugrum
Мало?
Anarions
Аккаунт != человек, на одном из скринов, вон, у человека почти десяток аккаунтов. А под «пользователями» в таком контексте, чаще всего, подразумевают аккаунт. Ну и почти каждый девайс на андроиде — имеет привязанный аккаунт гугла (и gmail по совместительству).
saboteur_kiev
Я очень не любитель регистрироваться где-либо, но как-то исторически сложилось, что у меня два или может даже три гуглаккаунта.
Ну и технические аккаунты часто создают.
artyums
По данным Википедии, в России у 129.4% населения есть сим-карта для доступа к сотовой связи.
Так что я не удивлен в миллиарде пользователей Gmail — у кого-то там просто пустой аккаунт (почта создалась одновременно c Google-аккаунтом), у кого-то этих аккаунтов — кипа (пара личных, корпоративный и т.д.), кто-то использует сервис «почта для домена» и так далее.
a5b
Год назад заявили 1 млрд активных пользователей Gmail, два года назад было 900 млн:
https://techcrunch.com/2016/02/01/gmail-now-has-more-than-1b-monthly-active-users/ Gmail Now Has More Than 1B Monthly Active Users — Posted Feb 1, 2016
https://techcrunch.com/2015/05/28/gmail-now-has-900m-active-users-75-on-mobile/ Gmail Now Has 900M Active Users, 75% On Mobile — Posted May 28, 2015
profesor08
У кого-то один, а у кого-то десятки тысяч, с которых разносится спам.