Ночь с третьего на четвертое мая 2017 года (по московскому времени) выдалась для инженеров Google неспокойной. Неизвестные злоумышленники запустили весьма оригинальную фишинговую кампанию, которая эксплуатировала легитимные сервисы и функции Google и с огромной скоростью, подобно червю, распространялась среди пользователей, маскируясь под ссылки на документы Google Docs. К счастью, массовой эпидемии удалось избежать, так как сотрудники Google сумели справиться с проблемой за несколько часов. Теперь индустрия, пользователи и эксперты подводят итоги происшедшего.
Во-первых, среди специалистов нашлись люди с хорошей памятью, которые вспомнили, что более пяти лет назад, в октябре 2011 года, исследователь и разработчик Андре Демарре (André DeMarre) предупреждал в рассылке IETF о том, что такая проблема может возникнуть.
«Представьте, что кто-то зарегистрирует клиентское приложение с OAuth сервисом, давайте назовем его Foobar, а затем даст приложению имя Google, Inc. Сервер авторизации Foobar будет сообщать пользователю: “Google, Inc. запрашивает ваше разрешение для того-то”. Владелец ресурса может подумать: “Понятно, я обоснованно нахожусь на сайте https://www.foobar.com, и Foobar говорит мне, что Google нужно разрешение. Я доверяю Foobar и Google, поэтому я кликну разрешить”», — писал Демарре.
По сути, именно это и произошло полтора дня назад, когда мошенники выдали свое приложение за Google Docs. Более того, следует отметить, что Демарре не только рассказывал о потенциальном векторе атак в рассылке, в 2012 году он также предупредил о проблеме специалистов Google. По данным Hacker News, исследователь даже получил «скромное вознаграждение» за проделанную работу, а разработчики Google якобы добавили защитные механизмы, препятствующие реализации подобных атак. Тем не менее они не сочли нужным позаботиться о механизме валидации URL, то есть решили, что не стоит, например, сопоставлять имена приложений с URL и именами компаний-разработчиков.
Во-вторых, атака с поддельными документами Google Docs, очевидно, показала инженерам Google, что они серьезно ошиблись пять лет назад. Поэтому теперь Gmail для Android получит специальную антифишинговую «заглушку». Данная функция должна предотвращать моментальный переход по потенциально вредоносным ссылкам.
Теперь, кликнув по ссылке в письме, пользователь увидит специальное предостережение, если URL покажется фильтрам Gmail подозрительным. Пользователю продемонстрируют полный URL-адрес и предупредят о том, что сайт, на который он собирается перейти, скорее всего, принадлежит мошенникам, которые пытаются выведать конфиденциальные данные и финансовую информацию. «Заглушка» не помешает перейти по указанному адресу, но четко даст понять, что пользователь делает это на свой страх и риск.
В-третьих, уже нашлись желающие взять на себя ответственность за вчерашнюю атаку. Так, 3 мая 2017 года в Twitter появился пользователь @EugenePupov (в настоящее время аккаунт уже удален). Он заявил, что является студентом университета Ковентри, и именно он создал фальшивое приложение Google Docs. По его словам, случившееся не было фишинговой атакой, просто во время тестирования произошла ошибка, а червь создавался в рамках проекта для выпускного экзамена.
Was the instigator of today's Google "phishing scam" @EugenePupov and was it just an accident? pic.twitter.com/fI8yPV2V5o
— Troy Hunt (@troyhunt) May 4, 2017
Однако экспертов и журналистов сразу насторожил тот факт, что аккаунт был зарегистрирован в день атаки, более того, email-адрес разработчика фальшивого приложения был известен всем: eugene.pupov@gmail.com. Отсюда пользователь Twitter, видимо, и почерпнул имя. Исследователи быстро провели простую проверку – попытались сбросить пароль от аккаунта. Выяснилось, что учетная запись в Twitter была зарегистрирована на совсем другую почту (см. скриншот ниже).
Журналисты Vice Motherboard пошли еще дальше и связались с представителями вышеупомянутого университета, выяснив, что учащегося с таким именем там нет. Также обнаружилось, что в качества фотографии профиля неизвестный использовал фото кандидата биологических наук Даниила Владимировича Пупова. После этого стало очевидно, что кто-то пытается пошутить или очень неумело выдает себя за реального автора фишинговой эпидемии, после чего эксперты и СМИ потеряли к «Пупову» всякий интерес.
