Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail

Το στάνταρτ OAuth, χάρη στο οποίο παραμένουμε συνδεδεμένοι στο λογαριασμό μας επί μακρόν για να απολαμβάνουμε πρόσβαση σε πλήθος υπηρεσιών διατηρώντας ζωντανή την πιστοποίηση της ταυτότητάς μας, φαίνεται ότι εκμεταλλεύτηκαν «παιχνιδιάρικοι» εισβολείς για να διασπείρουν ένα μάλλον άκακο mail από λογαριασμό σε λογαριασμό Gmail. Μάλιστα, η τεχνική αποδίδεται σε script kiddies, δηλαδή ανήλικους που παίζουν τους χάκερ με έτοιμο κώδικα για πλάκα, χωρίς όμως να είναι…

• Διασκεδαστικό ανάγνωσμα: What the heck is… OAuth? (Stormpath)

Η συζήτηση έχει ανάψει στο Reddit για τη νέα τεχνική μαζικής αποστολής μηνύματος που κατορθώνει να δει και να χρησιμοποιήσει διευθύνσεις e-mail. Ένα μήνυμα spam με αποστολέα τον «hhhhhhhhhhhhhhhh@mailinator.com» καλεί τον παραλήπτη να ανοίξει μια πρόσκληση που φαίνεται να προέρχεται από κάποιον χρήστη με τον οποίο ήδη αλληλογραφεί. Ο χρήστης πρέπει να ανοίξει την πρόσκληση με το Google Docs και επιλέγοντας το, το μήνυμα διασπείρεται σε οποιονδήποτε έχει στις Επαφές του, πολλαπλασιάζοντας τη διάδοση από παραλήπτη σε παραλήπτη. Εντούτοις, η Google επενέβη και σε μια ώρα «το πρόβλημα με το Google Drive πρέπει να επιλύθηκε».

We’ve addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf

— Google Docs (@googledocs) 3 Μαΐου 2017

Η πρώτη ανάλυση για την τεχνική, σημειώνει το έγκυρο Tom’s Guide, δείχνει ότι οι δημιουργοί εκμεταλλεύτηκαν το OAuth, μια τεχνολογία-στάνταρτ που επιτρέπει στον χρήστη να παραμένει συνδεδεμένος στον λογαριασμό του ώστε να αξιοποιήσει σειρά υπηρεσιών χωρίς να χρειαστεί να κάνει ξανά login. Αν για παράδειγμα μπείτε στο Gmail σας από μια καρτέλα του Chrome και ανοίξετε μια ακόμα για να δείτε τα αρχεία σας στο Google Drive, τότε δεν θα χρειαστεί χάρη στο εισιτήριο, το «token» που εκδόθηκε από το OAuth για να μεταφερθείτε απευθείας στον τομέα σας, χωρίς να πληκτρολογήσετε πάλι τα στοιχεία σας.

Με την νέα τεχνική υποκλοπής των στοιχείων σας («phishing» attack, για το «ψάρεμα» των στοιχείων σας με κάποιο δόλωμα), οι εισβολείς ξεγελούν τους χρήστες να παραχωρήσουν σε μια πλαστή εφαρμογή που εμφανίζεται ως Google Docs το δικαίωμα να αξιοποιεί το token του OAuth και να αποκτά πρόσβαση στο λογαριασμό σας, με αποτέλεσμα να μπορεί να στείλει mail στις Επαφές του λογαριασμού σας. Η τεχνική αυτή δεν είναι η πρώτη φορά που χρησιμοποιείται και είναι αποτελεσματική, γιατί για να ανακληθεί το token πρέπει ο χρήστης να αποσυνδεθεί από το λογαριασμό του από όλες τις συσκευές που παραμένει συνδεδεμένος.

A description of the attack — stealing access to your emails without even asking for your password – by @TrendMicro https://t.co/Tur1xwfORF pic.twitter.com/0ug6pqe4Yv

— Pwn All The Things (@pwnallthethings) 3 Μαΐου 2017

Οι ειδικοί κρίνουν ότι το επίμαχο μήνυμα που κυκλοφόρησε στις 3 Μάη πρέπει να είναι δουλειά νεαρών παιδιών που παίζουν με έτοιμο κώδικα που κοινοποιείται σε σχετικούς δικτυακούς τόπους, κι αυτό καθώς ο κώδικας αυτός εντοπίστηκε ήδη στους δημοφιλέστερους.

Τι πρέπει να ελέγξετε

Το γεγονός είναι μια καλή ευκαιρία για να ελέγξετε σε ποιες εφαρμογές/υπηρεσίες έχετε παραχωρήσει δικαίωμα πρόσβασης στο λογαριασμό σας στο Google. Επισκεφτείτε τη σελίδα που αφορά τις άδειες στο https://myaccount.google.com/permissions.

Εάν δείτε στη λίστα κάποια εφαρμογή που ονομάζεται Google Docs, αφαιρέστε το δικαίωμα πρόσβασης, καθώς δεν πρόκειται για το app του G Suite.

Ανθή Παναγιωτάκη, @anthi

tech.in.gr