Масштабная фишинг-атака затронула около 1 млн пользователей Gmail
Источник: Techcrunch
Вот уже пару дней интернет-пользователи получают сообщения в Gmail со ссылкой на некий документ Google Docs внутри. На эту ссылку не стоит кликать даже в том случае, если сообщение пришло от знакомого человека. Дело в том, что эту ссылку рассылает зловредное ПО, созданное неизвестной пока командой киберпреступников. Выглядит все вполне невинно: некто (скажем, ваш начальник, коллега или друг) делится через Gmail ссылкой на документ. Если перейти по ссылке, то зловредное ПО может получить доступ к Gmail-аккаунту жертвы.
Этот зловред, кроме прочих данных, анализирует список контактов пользователей и начинает спамить. Кроме того, malware еще и «читает» письма жертвы и «отвечает» на эти письма. Тем и опасна эта фишинг-атака, что ссылки на документы в Google Docs приходят от знакомых людей, во многих случаях — в качестве ответа на отправленное ранее письмо.
Правда, внимательный пользователь все же заметит некоторые нюансы при переходе на ссылку. А именно — «документ» запрашивает доступ к некоторым функциям аккаунта пользователя. Обычный документ Google Docs так себя не ведет. Но если об этом не знать (а большинство пользователей — не знают или не задумываются), то подозрений «документ» не вызовет. В том и проблема — очень многие пользователи кликают по ссылке и без проблем дают malware все, что оно запрашивает.
Источник: reddit
Самое интересное, что зловред умеет обходить двухфакторную аутентификацию. Его действия также не вызывают подозрения у системы безопасности Google — никаких сообщений о необычной активности аккаунта пользователи не получают. Ну, а поскольку malware получает от пользователя высший уровень доступа к аккаунту, то злоумышленники могут получить любую информацию, которую заходят.
Если вдруг вы оказались в числе пострадавших, то необходимо, в первую очередь, отозвать разрешения на доступ к аккаунту у зловреда. Если это ПО уже успело отправить письма вашим контактам, стоит написать им «вдогонку», объяснив ситуацию. Если вы получаете сообщения с упомянутыми ссылками, то стоит также написать тем, кто их отправляет, чтобы предупредить пострадавших пользователей об опасности.
На момент публикации этого материала Google уже заявил о ликвидации проблемы, но все же стоит быть настороже. Сейчас, возможно, распространение ссылок такого типа уже стало невозможным, но до исправления проблемы компанией malware разослало сотни тысяч таких сообщений.
Корпорация Google официально заявила следующее: «Мы приняли меры по защите пользователей от компрометации email-аккаунтов ссылками Google Docs, убрав возможность доступа к аккаунтам. Мы также убрали фейковые страницы и предоставили обновления через Safe Browsing. Наша команда работает для того, чтобы не допустить подобного впредь. Мы просим пользователей сообщать о подобных ситуациях».
Представитель компании также сделал заявление, согласно которому пострадали лишь 0,1% пользователей сервисов Google. Но и это немало, получается, что от действий злоумышленников пострадал примерно 1 миллион человек. И это несмотря на то, что Google ликвидировал уязвимость и само зловредное ПО уже через час после начала работы злоумышленников.
Компания также заявила следующее: «Мы защитили наших пользователей от этих атак, используя автоматические действия и работая «вручную». Эти действия предусматривают удаление фейковых страниц и приложений… Изучение ситуации показало, что другие данные оказались не затронутыми. Пользователям не нужно предпринимать никаких дальнейших действий в свете происшедшего».
(1 of 3) Official Google Statement on Phishing Email: We have taken action to protect users against an email impersonating Google Docs…
— Google Docs (@googledocs) May 3, 2017
(2 of 3) & have disabled offending accounts. We«ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team…
— Google Docs (@googledocs) May 3, 2017
(3 of 3) is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.
— Google Docs (@googledocs) May 3, 2017
Просмотреть список приложений и сервисов, которые имеют доступ к вашему аккаунту можно здесь.
Действия сотрудников компании были быстрыми и эффективными, но все же возникает вопрос — сколько еще уязвимостей такого типа могут использовать злоумышленники? В любом случае, решить проблему можно и без Google, если быть внимательным, но в процессе активной работы над чем-то можно просто не обратить внимание на странности пришедшего сообщения и кликнуть на ссылку, подтвердив доступы. От такого не застрахован никто.