Security Week 26: спам в сервисах Google
Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд ли удастся эксплуатировать массово в ближайшее время. А вот свежеобнаруженные критические уязвимости в распространенных программах, как правило, требуют немедленных действий, если эти программы используются в вашей рабочей или личной инфраструктуре. Из последних событий к таким относятся zero-day в Windows, уязвимость в почтовом сервере Exim или даже совсем свежая дыра в плеере VLC.
Но есть проблемы, связанные с безопасностью, которые существуют давно, эволюционируют медленно и эксплуатируются массово. В информационном пространстве им уделяется меньше внимания: ну понятно, что есть спам и связанное с ним широкомасштабное мошенничество, и что теперь? Давайте для разнообразия посмотрим на эту скучную тему, тем более, что повод есть. Недавно в блоге «Лаборатории Касперского» был опубликован подробный обзор методик рассылки спама через многочисленные сервисы Google. Если вам не повезло, вы с такими надоедливыми атаками сталкивались сами. Так произошло и с одним из авторов этого дайджеста. В этом посте мы дополним обзор методов рекомендациями и на примере спама поговорим о проблемах приватности. Если конкретнее — о том, как доступ к вашим сервисам по сути ограничен двумя последовательностями букв и цифр, которые известны всем.
Начнем с «капитанского» заявления: доступ к любому сервису в вашем аккаунте Google возможен по адресу вашей электронной почты. Вам как пользователю это удобно: зарегистрируйте почту и получите сразу мессенджер, место для хранения фотографий и других файлов, календарь и менеджер контактов, и многое другое. Спамерам такая конструкция удобна вдвойне, и с некоторых пор спам начал принимать новые формы. Это теперь не только отправка непрошеных сообщений в ваш почтовый ящик. Имея доступ к метаданным миллионов аккаунтов, Google борется с традиционным спамом достаточно неплохо, и в середине двухтысячных это было серьезным преимуществом на тот момент нового почтового сервиса GMail.
Такие сообщения окажутся в папке «Спам» с вероятностью, близкой к 100%. Поэтому спамеры начали эксплуатировать другие сервисы Google: выполняя действие в этом сервисе, можно вызывать отправку сообщения жертве, используя собственные серверы компании. Так появился спам через формы Google.
То есть: создается форма, заполняется, указывается ваш адрес, вам приходит нотификация (спасибо, что заполнили форму «Вам пришло много денег, получите же их скорее»). Манипулируя названиями формы и отдельных полей, можно создать сообщение, угодное преступнику, — со ссылкой на мошенничество с опросными формами, с какими-то неработающими финансовыми схемами, с дутыми криптобиржами. Сегодня мы не будем исследовать, чего именно спамеры пытаются от вас добиться, это не принципиально в контексте данной истории. Такой спам может быть как массовым, так и таргетированным.
Надо отметить, что, по субъективным впечатлениям автора этих строк, пик спама через Google-формы был год-два назад, теперь таких сообщений почти нет. Зато эксплуатируются любые сторонние сервисы, в логике которых есть отправка e-mail пользователю. В результате на вашу почту регистрируют аккаунты в интернет-магазинах, пытаясь вставить спам-ссылку в поле «имя пользователя», атакуют веб-формы с механикой «заполните и получите сообщение», эксплуатируют системы технической поддержки. От этого страдает в том числе и бизнес, как правило, малый, располагающий только базовыми инструментами работы с пользователями на сайте. Впрочем, вернемся в Google. Спам через Формы, судя по всему, удалось ограничить или искоренить, но прямо сейчас активно эксплуатируется другая дырка в логике: спам через Календарь.
Что мы здесь видим? Кто-то создает мероприятие и рассылает приглашение рандомным пользователям в сети, в том числе и вам. Собственно «спам-контент» — это название мероприятия, но здесь интересно, что мероприятие не однократное, а ежедневное. Подождите, но почта GMail правильно определила это сообщение как спам — значит, все в порядке? А вот и нет: с настройками календаря по умолчанию все приглашения автоматически добавляются в ваше расписание, независимо от статуса в почте.
И вот это уже настоящая боль, к которой приводят и действия спамеров, и подход компании Google, которая, конечно же, желает максимально упростить использование своих сервисов. Если спам через Формы немного раздражал тем, что периодически пробивал фильтры Google (чего обычно не происходит в иных случаях), то здесь вы получаете уведомление на телефоне, со звуком и не исключено, что ночью.
Вот эта настройка решает проблему раз и навсегда. Если выбрать третью опцию «показывать только приглашения, на которые был ответ», то спам в календаре и в телефоне пропадает (не считая тех «мероприятий», которые уже успели туда попасть — их надо удалять из календаря вручную). Интересно, что эта настройка недоступна с мобильного телефона и присутствует только в десктопной версии. Все для вашего удобства!
В статье приведены еще два примера нетрадиционного спама через сервисы Google: уведомления из Google Photos и спам через документы на Google Drive. Можно добавить и спам через мессенджер Google, сменивший за свою историю десяток названий. Проанализировав все эти примеры, можно ограничиться рекомендацией «не кликайте на подозрительные ссылки и не открывайте подозрительные файлы». И это действительно первое, что нужно иметь в виду при получении спама любыми методами. Но дело не только в этом.
На прошлой неделе издание ZDNet опубликовало очередную историю жертвы подмены SIM-карты. Злоумышленник получил доступ к телефону автора статьи: позвонил сотовому оператору, сообщил личные данные владельца и запросил перевыпуск симки. После этого он проник в учетную запись Google, перехватил доступ к Twitter и отключил владельцу интернет (тоже предоставленный Google). Таким образом он максимально затруднил восстановление доступа к учетным записям, и даже попытался (к счастью, неудачно) купить биткойны с банковского счета жертвы на 25 тысяч долларов. Два интересных момента в этой статье: замена SIM-карты посторонним лицом произошла дважды (!), а попытки связаться с поддержкой Google увенчались успехом, но далеко не сразу.
Вроде бы к спаму это не имеет прямого отношения, но на самом деле можно обозначить общую проблему: в типичном сценарии доступ к самым важным цифровым активам завязан на ваш номер телефона и адрес электронной почты. То есть на то, что известно многим людям и в большинстве случаев легко обнаруживается злоумышленниками. В худшем случае это приводит к потере времени, денег и репутации, как это описано в статье ZDNet и во многих других примерах. В «лучшем» это приводит к потере времени, звонкам телефона посреди ночи и бардаку в почтовом ящике. Но подождите, в этом ведь тоже нет ничего хорошего!
Если ваш почтовый ящик используется для общения с большим количеством людей, тем более — для бизнеса, вы вряд ли будете его менять из-за спам-атак. Можно считать это неизбежным злом. Провайдерам сервисов (это касается не только Google) определенно следует улучшить защиту пользователя от эксплуатации этих самых сервисов злоумышленниками. Пользователям можно порекомендовать не складывать все яйца в одну корзину: для доступа к самым важным цифровым ресурсам (для кого-то это может быть банковский счет, для кого-то — аккаунт в Twitter) завести отдельный почтовый адрес и даже телефонный номер, который не знает никто. Да, это неудобно! В 2004 году, когда появился почтовый сервис GMail, Google получила конкурентное преимущество, сделав почту удобной (до этого сделав удобным поиск). Следующий лидер на рынке цифровых услуг сможет им стать, если разрешит сетевые неудобства, да и попросту угрозы сегодняшнего дня.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.