Jest to system phishingowy, którego nawet uwierzytelnianie wieloczynnikowe i zmiana hasła nie zostaną naprawione.

W środę masowy atak phishingowy na Google Docs rozprzestrzenił się w Gmailu, przejmując konta osób i wysyłając spam na listy kontaktów ofiar. Google szybko zamknął atak, który dotyczył około 0, 1% użytkowników Gmaila.

Nawet przy tak małej liczbie, z około 1 miliardem użytkowników Gmaila, wciąż jest to co najmniej milion osób. Typowe wykrywanie phishingu oferowane przez Gmaila nie mogło tego zablokować, ponieważ atak nie wymagał nawet, aby jego użytkownicy wpisywali swoje hasła.

Oszustwo phishingowe polegało na wykorzystaniu OAuth, rzadkiego schematu, który ujawnił się światu w środę. OAuth, czyli Open Authorization, pozwala aplikacjom i usługom "rozmawiać" ze sobą bez logowania się na twoje konta. Zastanów się, w jaki sposób Amazon Alexa może odczytać wydarzenia z Kalendarza Google lub w jaki sposób Twoi znajomi z Facebooka mogą zobaczyć, której piosenki słuchasz w Spotify. W ciągu ostatnich trzech lat aplikacje korzystające z protokołu OAuth przeskoczyły z 5 500 do 276 000, według Cisco Cloudlock.

"Teraz, gdy technika ta jest powszechnie znana, może stanowić poważny problem - jest tak wiele usług internetowych, które korzystają z protokołu OAuth i trudno jest im w pełni zweryfikować wszystkie aplikacje innych firm", powiedział Greg Martin, CEO firmy ds. Bezpieczeństwa cybernetycznego Jask, w e-mailu.

Czym różni się Google Docs od typowych ataków phishingowych?

Typowy atak typu "phishing" wypełnia stronę internetową, która ma na celu nakłonienie użytkownika do wpisania hasła, przesłania poufnych informacji do złodzieja lub zarejestrowania go w bazie danych.

Dzięki exploitom OAuth, tak jak w przypadku oszustwa Google Docs, konta mogą zostać przejęte bez konieczności wpisywania czegokolwiek. W systemie Dokumentów Google atakujący utworzył fałszywą wersję Dokumentów Google i poprosił o pozwolenie na odczyt, zapis i dostęp do wiadomości e-mail ofiary.

Przyznając zezwolenie na wykorzystanie OAuth, skutecznie udostępnisz złym użytkownikom dostęp do konta bez konieczności podawania hasła.

Dlaczego nie mogę zmienić mojego hasła?

OAuth nie działa poprzez hasła, działa poprzez tokeny uprawnień. Jeśli hasło jest kluczem blokującym drzwi twojego konta, OAuth jest portierem, który ma klucze i kto zostanie oszukany, aby pozwolić innym osobom wejść.

Będziesz musiał odwołać uprawnienia, aby wykopać intruzów.

Dlaczego uwierzytelnianie wieloczynnikowe nie powstrzymuje exploitów OAuth?

Uwierzytelnianie wieloczynnikowe działa, prosząc o wpisanie kodu zabezpieczającego przy próbie logowania za pomocą hasła.

Ponownie, w tym exploicie hasła nie są punktem wejścia. Tak więc, gdy hakerzy używają exploitów OAuth, nie muszą wprowadzać hasła - ofiara oszukała, dając już pozwolenie.

"Według danych firmy Cisco, aplikacje same w sobie nie muszą mieć drugiego czynnika po uzyskaniu przez użytkownika pozwolenia".

Co powinienem zrobić, jeśli popadnę w oszustwo phishingowe w Gmailu?

Na szczęście poprawka jest łatwiejsza w obsłudze niż w przypadku zwykłego ataku phishingowego. W przypadku Google możesz odwołać uprawnienia, przechodząc na //myaccount.google.com/permissions. Jeśli fałszywa aplikacja zostanie zamknięta, tak jak zrobił to Google w przypadku oszustów Google Docs, uprawnienia również zostaną automatycznie anulowane.

W przypadku innych usług korzystających z protokołu OAuth może to nie być tak proste. Większość usług, które korzystają z OAuth, będzie mieć stronę, na której możesz zarządzać swoimi uprawnieniami, na przykład na stronie Aplikacje na Twitterze. Na urządzeniach z Androidem 6.0 możesz cofać uprawnienia Menedżera aplikacji w swoich ustawieniach.

Niestety, istnieją setki tysięcy aplikacji, które korzystają z protokołu OAuth, i nie ma wystarczająco dużo czasu, aby większość osób mogła znaleźć dla nich wszystkie strony uprawnień.

Magazyn CNET: Obejrzyj samouczek z historii, które znajdziesz w wydaniu kiosku CNET.

To skomplikowane: datuje się w epoce aplikacji. Dobra zabawa? Te historie trafiają do sedna sprawy.