gmail poczta logo
21

Ten atak phishingowy na konta Google może mieć daleko idące konsekwencje

Do tej pory, zwykle mieliśmy takie ataki skierowane na klientów polskich banków czy telekomów, fałszywe linki do logowania czy fałszywe faktury. Były to dość nieudolne próby, z błędami czy podejrzanie wyglądanymi adresami nadawców, a same spreparowane do tego celu strony również wzbudzały nieufność. Niemniej niektóre osoby mogły się nabrać. Wczorajszy zmasowany atak był na tyle dobrze przygotowany, że wzbudził spore zamieszanie w sieci.

Całość ataku nagrał na filmie Zach Latta:

W skrócie, atakujący wysyła na adres ofiary emaila z linkiem do dokumentu w Google Dokumenty, po kliknięciu w link pojawia się prośba o wybranie adresu Gmail, którym chcemy autoryzować dostęp, wszystko na stronach Google, po czym przyznajemy uprawnienia. Tyle, że przyznajemy je aplikacji firmy trzeciej, którą atakujący nazwali po prosty Google Docs. W ten sposób atakujący uzyskują dostęp do naszego konta i wszystkich kontaktów, bez konieczności wpisywania danych logowania. Z informacji w sieci wynika, że szybko się to rozprzestrzeniło, gdyż zaczęli wysyłać podobne emaile do osób z listy kontaktów, z przejętych w ten sposób kont.

Na szczęście Google szybko zareagowało i zablokowali tę aplikację, ale przestępcy zdążyli uzyskać dostęp do wielu kont, a tego nie da się już cofnąć. Jeśli padliście ofiarą tego ataku, koniecznie usuńcie tę aplikację z listy z przyznanymi uprawnieniami pod tym adresem.

Osobiście, mocno zachwiało to moim zaufaniem do tego typu aplikacji. Wiele ich już testowałem, wiele takich uprawnień przyznawałem. Aktualnie usunąłem wszystkie prócz Feedly, któremu wystarczą podstawowe informacje o moim koncie, bez dostępu do Gmaila czy kontaktów, do czasu aż Google zabezpieczy tę usługę, co zresztą obiecują, tak aby wykluczyć w przyszłości podobne ataki.