Фишинговая рассылка сервиса Gmail напугала сотни тысяч пользователей

Фишинговая рассылка сервиса Gmail напугала сотни тысяч пользователей

Завсегдатаи ресурса Reddit вчера выявили новый метод проведения фишинговых кампаний. Атака затронула сперва журналистов, представителей учебных учреждений и бизнесменов, после чего начала разрастаться и охватывать обычных юзеров.

Вредоносная рассылка имитировала Google Docs. Пользователь получал письмо со ссылкой на Google документ. Если кликнуть по ссылке, она действительно переадресовывала юзера на реальную страницу поисковика. Этот трюк и скрывал под собой наибольшую опасность: на следующем этапе доверчивый юзер должен предоставить приложению Google Docs доступ к своей учетной записи. После получения необходимого доступа вредонос легко справлялся с двухфакторной аутентификацией (при условии, что она была включена), и мог добраться до списка контактов и сообщений жертвы. Естественно, после этого следовала спам-рассылка на каждый из полученных контактов.

Выявить обман можно было только после нажатия на Google Docs, однако именно этот момент был поворотным, и вредоносное приложение получало доступ к Gmail аккаунту.

Фишинговая рассылка сервиса Gmail напугала сотни тысяч пользователей

Ссылки на поддельный Google Docs распространялись с невероятной скоростью, поэтому вскоре новость появилась в трендах Twitter. Исследователям интернет-безопасности сразу вспомнилась история с червем Samy, который стал катализатором настоящей бури несколько лет назад (речь идет о заражении юзеров MySpace).

Инженерам Google удалось быстро среагировать и отключить замаскированные вредоносные приложения. Таким образом, с проблемой разобрались за пару часов после обнаружения первой информации об атаке. Деактивировать вредонос удалось, отозвав у него возможность применения Oauth.

Интересно, что фишинговую рассылку можно было распознать по ряду общих признаков: все сообщения имели одинаковый адрес отправителя, а в скрытой копии содержали адреса получателей. При этом рассылка шла с почтовика последней «жертвы», открывшей фальшивое приложение.

Google распространил обновления при помощи Safe Browsing, поддельные страницы были удалены, а аккаунты нарушителей отключены. Для исключения возможности проведения подобного спуфинга в будущем в компании активизировали abuse-команду. Как утверждают представители корпорации, из-за фишинговой атаки пострадало меньше 0,1% пользователей почтовика. Перевести процентное соотношение в цифры не трудно: общее количество юзеров Gmail превышает один миллиард, а значит, фишинговая кампания добралась до примерно миллиона аккаунтов. Всем пострадавшим рекомендуется перейти на страницу «Права» (/permissions) в настройках учетной записи и проверить, имеет ли приложение Google Docs доступ к аккаунту. Чтобы уберечь себя от рассылок в будущем рекомендуется убрать его из этого списка.

Эксперты по ИБ предполагают, что киберпреступники таким способом собирали информацию для последующих, более разрушительных атак.