• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Фишинговая рассылка сервиса Gmail напугала сотни тысяч пользователей

    Завсегдатаи ресурса Reddit вчера выявили новый метод проведения фишинговых кампаний. Атака затронула сперва журналистов, представителей учебных учреждений и бизнесменов, после чего начала разрастаться и охватывать обычных юзеров.

    Вредоносная рассылка имитировала Google Docs. Пользователь получал письмо со ссылкой на Google документ. Если кликнуть по ссылке, она действительно переадресовывала юзера на реальную страницу поисковика. Этот трюк и скрывал под собой наибольшую опасность: на следующем этапе доверчивый юзер должен предоставить приложению Google Docs доступ к своей учетной записи. После получения необходимого доступа вредонос легко справлялся с двухфакторной аутентификацией (при условии, что она была включена), и мог добраться до списка контактов и сообщений жертвы. Естественно, после этого следовала спам-рассылка на каждый из полученных контактов.

    Выявить обман можно было только после нажатия на Google Docs, однако именно этот момент был поворотным, и вредоносное приложение получало доступ к Gmail аккаунту.

    Фишинговая рассылка сервиса Gmail напугала сотни тысяч пользователей

    Ссылки на поддельный Google Docs распространялись с невероятной скоростью, поэтому вскоре новость появилась в трендах Twitter. Исследователям интернет-безопасности сразу вспомнилась история с червем Samy, который стал катализатором настоящей бури несколько лет назад (речь идет о заражении юзеров MySpace).

    Инженерам Google удалось быстро среагировать и отключить замаскированные вредоносные приложения. Таким образом, с проблемой разобрались за пару часов после обнаружения первой информации об атаке. Деактивировать вредонос удалось, отозвав у него возможность применения Oauth.

    Интересно, что фишинговую рассылку можно было распознать по ряду общих признаков: все сообщения имели одинаковый адрес отправителя, а в скрытой копии содержали адреса получателей. При этом рассылка шла с почтовика последней «жертвы», открывшей фальшивое приложение.

    Google распространил обновления при помощи Safe Browsing, поддельные страницы были удалены, а аккаунты нарушителей отключены. Для исключения возможности проведения подобного спуфинга в будущем в компании активизировали abuse-команду. Как утверждают представители корпорации, из-за фишинговой атаки пострадало меньше 0,1% пользователей почтовика. Перевести процентное соотношение в цифры не трудно: общее количество юзеров Gmail превышает один миллиард, а значит, фишинговая кампания добралась до примерно миллиона аккаунтов. Всем пострадавшим рекомендуется перейти на страницу «Права» (/permissions) в настройках учетной записи и проверить, имеет ли приложение Google Docs доступ к аккаунту. Чтобы уберечь себя от рассылок в будущем рекомендуется убрать его из этого списка.

    Эксперты по ИБ предполагают, что киберпреступники таким способом собирали информацию для последующих, более разрушительных атак.