21

Ten atak phishingowy na konta Google może mieć daleko idące konsekwencje

Do tej pory, zwykle mieliśmy takie ataki skierowane na klientów polskich banków czy telekomów, fałszywe linki do logowania czy fałszywe faktury. Były to dość nieudolne próby, z błędami czy podejrzanie wyglądanymi adresami nadawców, a same spreparowane do tego celu strony również wzbudzały nieufność. Niemniej niektóre osoby mogły się nabrać. Wczorajszy zmasowany atak był na tyle dobrze przygotowany, że wzbudził spore zamieszanie w sieci.

Całość ataku nagrał na filmie Zach Latta:

W skrócie, atakujący wysyła na adres ofiary emaila z linkiem do dokumentu w Google Dokumenty, po kliknięciu w link pojawia się prośba o wybranie adresu Gmail, którym chcemy autoryzować dostęp, wszystko na stronach Google, po czym przyznajemy uprawnienia. Tyle, że przyznajemy je aplikacji firmy trzeciej, którą atakujący nazwali po prosty Google Docs. W ten sposób atakujący uzyskują dostęp do naszego konta i wszystkich kontaktów, bez konieczności wpisywania danych logowania. Z informacji w sieci wynika, że szybko się to rozprzestrzeniło, gdyż zaczęli wysyłać podobne emaile do osób z listy kontaktów, z przejętych w ten sposób kont.

Na szczęście Google szybko zareagowało i zablokowali tę aplikację, ale przestępcy zdążyli uzyskać dostęp do wielu kont, a tego nie da się już cofnąć. Jeśli padliście ofiarą tego ataku, koniecznie usuńcie tę aplikację z listy z przyznanymi uprawnieniami pod tym adresem.

Osobiście, mocno zachwiało to moim zaufaniem do tego typu aplikacji. Wiele ich już testowałem, wiele takich uprawnień przyznawałem. Aktualnie usunąłem wszystkie prócz Feedly, któremu wystarczą podstawowe informacje o moim koncie, bez dostępu do Gmaila czy kontaktów, do czasu aż Google zabezpieczy tę usługę, co zresztą obiecują, tak aby wykluczyć w przyszłości podobne ataki.

  • janek

    Tez usunelem kilknanascie aplikacji :)

    • I dobrze, o wielu z nich już zapomniałem, a dostęp wisiał

    • Zawsze powtarzam wszystko od Google to syf trojany i najmniej tego używać co oni oferują .
      ps.
      Na android mam pocztę od MS i święty spokój bo spamu nie dostaję o logowaniu z innego urządzenia i głupawych alertów Google aby sprawdzić bezpieczeństwo.
      Każda taka głupota pseudo bezpieczeństwa powiadomień od Google wysyłanych na pocztę to idealna okazja dla hackierów i osób przejmujących konta i dane.

    • człowiek

      A u mnie wszytko ok a mam gmail wszędzie :) po prostu nie trzeba otwierać pierdół :) i tyle

    • Rafal Warachewicz

      hmm..a gmail nie jest potrzeby by korzystać ze sklepu play? bo i przecież mamy kopię naszych kontaktów.. nie chciałbym ich stracić. tyle razu co się format na telefonie robiło.. az strach przepisywac.

    • ahahaha

      masz spokoj z poczta ms bo nikt z niej nie korzysta xD nawet hakerzy
      abahahahahah

    • latalante

      Niemożliwym jest nadanie uprawnień do zarządzania kontem aplikacji trzeciej ot tak sobie. Pojawi się stosowne ostrzeżenie, które musimy zaakceptować.

      „Z informacji w sieci wynika, że szybko się to rozprzestrzeniło”
      Jak szybko? Ile kont?

      „…że wzbudził spore zamieszanie w sieci.”
      Spore zamieszanie wzbudziła informacja o microsoftowych chromebookach. To jest kontynuacja.
      Stąd i ta nadaktywność zawodowych piesków ujadających.

    • Już za póżno i syf już swoje zrobił :)

    • qwqw

      Tak ładnie się zapowiadałeś, a teraz twoje komentarze to syf…. szkoda.

  • Zastanawiam sie na ile pomaga w takim przypadku podwojna autoryzacja (2FA).

    • Niewiele, autoryzacja przebiega na podstawie tokenu, nie potrzeba do tego danych logowania.

    • Podwojna Autoryzacja jest przypisana do maszyny. Jeśli ktoś się zaloguje z innej, zostanie zapisany o kod. Chyba że zdejmie wcześniej 2FA. Ale nie jestem pewny czy tego nie trzeba potwierdzić kodem.
      Zgaduje, bo dotychczas zakładałem tylko podwójna weryfikację, nie miałem jeszcze okazji ściagać

    • A to nie jest tak że 2FA działa przy logowaniu a nie przy dawaniu uprawnień dla aplikacji?

    • janti

      Tak jest
      Dlatego zastanawia mnie jak niby hacker ma się dostać na konto i zmienić hasło, kiedy Aplikacja która ma dostęp do części funkcji konta Google nie może tego zrobić.

      Nie da się też wyłączyć weryfikacji dwuetapowej bez wcześniejszego zalogowania z wykorzystaniem weryfikacji dwuetapowej

    • A po co ma zmieniać hasło? Uzyskał już dostęp do skrzynki, wyświetlania emaili i do listy kontaktów, by rozsyłać dalej

    • lostwords

      Dostępu do kontaktów może zarządać na Androidzie dowolna aplikacja.

      Większość aplikacji żąda i dostaje dostęp do kontaktów. Tak działa Android. Nie można zabronić wyrywkowo dostępu do kontaktów a umożliwić do aparatu.

      Nie potrzeba do tego wirusa :))))

    • gom1

      Nie można zabronić wyrywkowo dostępu do kontaktów a umożliwić do aparatu

      Od Androida 6.0 można.

    • Rafal Warachewicz

      mozna mozna kolego. wyrywkowo mozna jak najbardziej.

    • Camis ✓ᵛᵉʳᶦᶠᶦᵉᵈ
  • Haha znów jakiś syf od Google w poczcie frajerom ktoś wysyła Google Docs aby w to klikać .
    Dobrze że korzystam z poczty Outlook od MS i MS Office.
    ps.
    Nie klikam w załączniki od Google i spam jaki wysyłają to mam spokój :)

  • łukasz Jedryszczyk

    Atak ja każdy inny raz podszywają się pod bank raz pod Google zawsze trzeba być ostrożnym zresztą idzie aktualizacja Gmail https://plus.google.com/communities/108343193517020967382