Вчера, 3 мая 2017 года, пользователи Reddit обнаружили новый и весьма необычный способ проведения фишинговых атак. Согласно Reddit, а также судя по многочисленным сообщениям в социальных сетях, неизвестные злоумышленники развернули масштабную кампанию, атаковав сначала журналистов, представителей бизнеса и учебных заведений, а затем волна фишинга со скоростью лесного пожара распространилась и на обычных пользователей.
Суть атаки заключалась в следующем. Пользователь получал легитимное (не поддельное) письмо от одного из своих контактов, сообщавшее, что контакт поделился ссылкой на некий документ Google Docs.
Если пользователь кликал на приведенную в письме кнопку, чтобы перейти к документу, его переадресовало на настоящий, принадлежащий Google, экран выбора аккаунта. Однако именно здесь и скрывался коварный трюк.
Как можно видеть на скриншоте выше, выбор аккаунта запрашивало приложение Google Docs. Разумеется, приложение не было настоящим. Лишь при нажатии на Google Docs, пользователь мог увидеть информацию о разработчике и заметить обман.
Если же жертва не замечала подвоха, выбирала аккаунт и выдавала мошенникам необходимые разрешения, злоумышленники получали доступ к списку контактов пользователя и аккаунту Gmail.
После этого фальшивое приложение действовало как классический червь: оно моментально распространялась по всему списку контактов пострадавшего пользователя, отправляя его или ее друзьям такие же ссылки на «документы Google Docs». Благодаря этому механизму саморазмножения, угроза распространялась с огромной скоростью, и вскоре Google Docs уже можно было заметить в мировых трендах Twitter, и многие вспомнили червя Samy, который много лет назад спровоцировал настоящую эпидемию, заразив большую часть пользователей MySpace.
К счастью для испуганных пользователей, сотрудники Google, видимо, читают Reddit в целом и /r/Google в частности. Спустя лишь несколько часов после появления первых сообщений об атаке, инженеры компании деактивировали все фальшивые приложения и отозвали у них разрешение на использование OAuth.
We've addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Google Docs (@googledocs) May 3, 2017
«Мы предприняли меры, чтобы защитить пользователей от писем, маскирующихся под Google Docs, и отключили аккаунты нарушителей. Также были удалены поддельные страницы, через Safe Browsing распространены обновления, а наша abuse-команда работает над тем, чтобы более такой спуфинг нельзя было повторить», — сообщили представители Google.
Пользователям, которые попались на удочку мошенников, рекомендуют перейти по адресу myaccount.google.com/permissions и внимательно просмотреть, какие приложения имеют доступ к их аккаунтам (в случае необходимости отозвав лишние разрешения). Настоящего приложения Google Docs в списке быть не должно.
