OAuth Phishing Αttack

Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail

Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail
Κάντε ένα Security Checkup, συνιστά η Google αφού ολοκλήρωσε όλα όσα μπορούσε να κάνει για να σταματήσει το πλαστού Google Docs.  
Το στάνταρτ OAuth, χάρη στο οποίο παραμένουμε συνδεδεμένοι στο λογαριασμό μας επί μακρόν για να απολαμβάνουμε πρόσβαση σε πλήθος υπηρεσιών διατηρώντας ζωντανή την πιστοποίηση της ταυτότητάς μας, φαίνεται ότι εκμεταλλεύτηκαν «παιχνιδιάρικοι» εισβολείς για να διασπείρουν ένα μάλλον άκακο mail από λογαριασμό σε λογαριασμό Gmail. Μάλιστα, η τεχνική αποδίδεται σε script kiddies, δηλαδή ανήλικους που παίζουν τους χάκερ με έτοιμο κώδικα για πλάκα, χωρίς όμως να είναι...

Η συζήτηση έχει ανάψει στο Reddit για τη νέα τεχνική μαζικής αποστολής μηνύματος που κατορθώνει να δει και να χρησιμοποιήσει διευθύνσεις e-mail. Ένα μήνυμα spam με αποστολέα τον "hhhhhhhhhhhhhhhh@mailinator.com" καλεί τον παραλήπτη να ανοίξει μια πρόσκληση που φαίνεται να προέρχεται από κάποιον χρήστη με τον οποίο ήδη αλληλογραφεί. Ο χρήστης πρέπει να ανοίξει την πρόσκληση με το Google Docs και επιλέγοντας το, το μήνυμα διασπείρεται σε οποιονδήποτε έχει στις Επαφές του, πολλαπλασιάζοντας τη διάδοση από παραλήπτη σε παραλήπτη. Εντούτοις, η Google επενέβη και σε μια ώρα «το πρόβλημα με το Google Drive πρέπει να επιλύθηκε».


Η πρώτη ανάλυση για την τεχνική, σημειώνει το έγκυρο Tom's Guide, δείχνει ότι οι δημιουργοί εκμεταλλεύτηκαν το OAuth, μια τεχνολογία-στάνταρτ που επιτρέπει στον χρήστη να παραμένει συνδεδεμένος στον λογαριασμό του ώστε να αξιοποιήσει σειρά υπηρεσιών χωρίς να χρειαστεί να κάνει ξανά login. Αν για παράδειγμα μπείτε στο Gmail σας από μια καρτέλα του Chrome και ανοίξετε μια ακόμα για να δείτε τα αρχεία σας στο Google Drive, τότε δεν θα χρειαστεί χάρη στο εισιτήριο, το "token" που εκδόθηκε από το OAuth για να μεταφερθείτε απευθείας στον τομέα σας, χωρίς να πληκτρολογήσετε πάλι τα στοιχεία σας.

Με την νέα τεχνική υποκλοπής των στοιχείων σας ("phishing" attack, για το «ψάρεμα» των στοιχείων σας με κάποιο δόλωμα), οι εισβολείς ξεγελούν τους χρήστες να παραχωρήσουν σε μια πλαστή εφαρμογή που εμφανίζεται ως Google Docs το δικαίωμα να αξιοποιεί το token του OAuth και να αποκτά πρόσβαση στο λογαριασμό σας, με αποτέλεσμα να μπορεί να στείλει mail στις Επαφές του λογαριασμού σας. Η τεχνική αυτή δεν είναι η πρώτη φορά που χρησιμοποιείται και είναι αποτελεσματική, γιατί για να ανακληθεί το token πρέπει ο χρήστης να αποσυνδεθεί από το λογαριασμό του από όλες τις συσκευές που παραμένει συνδεδεμένος.


Οι ειδικοί κρίνουν ότι το επίμαχο μήνυμα που κυκλοφόρησε στις 3 Μάη πρέπει να είναι δουλειά νεαρών παιδιών που παίζουν με έτοιμο κώδικα που κοινοποιείται σε σχετικούς δικτυακούς τόπους, κι αυτό καθώς ο κώδικας αυτός εντοπίστηκε ήδη στους δημοφιλέστερους.

Τι πρέπει να ελέγξετε

Το γεγονός είναι μια καλή ευκαιρία για να ελέγξετε σε ποιες εφαρμογές/υπηρεσίες έχετε παραχωρήσει δικαίωμα πρόσβασης στο λογαριασμό σας στο Google. Επισκεφτείτε τη σελίδα που αφορά τις άδειες  στο https://myaccount.google.com/permissions.

Εάν δείτε στη λίστα κάποια εφαρμογή που ονομάζεται Google Docs, αφαιρέστε το δικαίωμα πρόσβασης, καθώς δεν πρόκειται για το app του G Suite.

Ανθή Παναγιωτάκη, @anthi

tech.in.gr

Συμβουλές:  Περισσότερες ειδήσεις

Θέματα: