Uživatelé Google Docs zasaženi velice sofistikovaným phishing útokem

Ve středu večer byla zaznamenána velice sofistikovaná a neobvykle úspěšná phishing hrozba mířená na uživatele Google Docs. Je stále doporučeno neotevírat emaily od uživatelů, kteří s vámi sdílí nějaký dokument v platformě Google Docs. To se týká zejména adres, se kterými běžně komunikujete.
Varování s ukázkou a podrobnostmi bylo zveřejněno na redditu v sekci /r/google a díky pohotovému zaměstnanci byla celá věc nahlášena a do hodiny vyřešena.
Celý útok vypadá velice věrohodně a probíhá následujícím způsobem:
  1. Uživatel dostane email od známého kontaktu
  2. V emailu vidí běžnou zprávu, že s ním kontakt sdílí dokument na Google Docs
  3. Po kliknutí na tlačítko je uživatel přesměrován na standardní přihlašovací obrazovku, kde povolí přístup aplikaci Google Docs
  4. Pokud uživatel povolí falešnou aplikaci Google Docs, stejný email se odešle všem jeho kontaktům a následně je přesměrován na škodlivou stránku
Ukázka falešné aplikace Google Docs
Původní zpráva je adresována na adresu "[email protected]" a obět je uvedena v kopii. Jako odesílatel je vždy zobrazen někdo z vašich kontaktů (dříve napadená oběť).

Google škodlivou aplikaci zablokoval, příjemcům phishing emailu se tedy po kliknutí na odkaz v emailu zobrazí pouze chybová hláška: "Error: disabled_client. The OAuth client was disabled.". Není však vyloučeno, že podobné útoky budou pokračovat.

Zde je neúplný seznam domén, na kterých byl škodlivý kód hostován:
  • googledocs.g-docs.pro
  • googledocs.gdocs.download
  • googledocs.docscloud.download
  • googledocs.gdocs.pro
  • googledocs.docscloud.win
  • googledocs.docscloud.info
Napadeným uživatelům je doporučeno navštívit následující adresu a zablokovat jakékoliv škodlivé aplikace, které mohou mít plný přístup k účtu.

Celá situace se neustále řeší, podle serveru downdetector byl dokonce zaznamenán výpadek služby Google Drive.
Official Google Statement on Phishing Email: We have taken action to protect users against an email impersonating Google Docs & have disabled offending accounts. We’ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.
Podle dostupných zpráv na sociálních sítích se tento útok šíří velice rychle a napadeno bylo již stovky uživatelů, od zaměstnanců různých společností po individuální uživatele.

Z důvodu bezpečnostního výzkumu se nám podařilo získat kompletní zdrojový kód škodlivé aplikace. Je zajímavé, že phishing kampaň dokonce obsahovala Google Analytics kód na sledování statistik.

Během dne bude jistě vycházet spousta dalších informací o průběhu celého útoku. Společnost Google vše zvládla na výbornou a je nepravděpodobné, že tento druh phishing kampaně bude i nadále pokračovat. Je ale stále doporučeno zůstat na pozoru, k obětem se přihlásila i řada zkušených uživatelů, včetně novinářů.

Update:

Přesně tento druh útoku byl popsán již v roce 2014 a podrobněji rozepsán v únoru 2017. První zmínky o tomto attack vectoru můžeme najít již v roce 2012. Nejedná se tedy o nic nového, phishing kampaň byla relativně úspěšná, ale naštěstí byla velice rychle zastavena a uživatelská data zůstala v bezpečí.

Více informací:

https://www.theverge.com/2017/5/3/15534768/google-docs-phishing-attack-share-this-document-with-you-spam

https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/

https://motherboard.vice.com/en_us/article/massive-gmail-google-doc-phishing-email

http://thehackernews.com/2017/05/google-docs-phishing-email.html

https://news.ycombinator.com/item?id=14258918
Uživatelé Google Docs zasaženi velice sofistikovaným phishing útokem Uživatelé Google Docs zasaženi velice sofistikovaným phishing útokem Reviewed by Kamil Vavra on května 04, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.