В начале мая 2017 года неизвестные злоумышленники запустили весьма необычную фишинговую кампанию, направленную против пользователей Gmail. Атакующие эксплуатировали легитимные сервисы и функции Google, маскируя свою активность под ссылки на документы Google Docs. Вредоносные письма, при помощи которых мошенники получали доступ к чужим аккаунтам Gmail и спискам контактов, распространялись с огромной скоростью, подобно червю.
К счастью, массовой эпидемии удалось избежать, так как сотрудники Google сумели справиться с проблемой за считанные часы. Теперь пришло время подводить итоги случившегося и принимать меры, чтобы подобное не повторилось вновь. Так, на прошлой неделе уже стало известно, что приложение Gmail для Android получит специальную антифишинговую «заглушку». Данная функция должна предотвращать моментальный переход по потенциально вредоносным ссылкам.
При этом исследователи напоминают, что предупреждения о возможности проведения подобных фишинговых атак звучали еще пять лет назад. Так, еще в октябре 2011 года, исследователь и разработчик Андре Демарре (André DeMarre) рассказывал в рассылке IETF о том, что такая проблема может возникнуть. Также, по данным аналитиков Trend Micro, похожие схемы атак давно взяли на вооружение группы «правительственных хакеров», к примеру, Pawn Storm (они же Fancy Bear, APT28). Специалисты пишут, что злоумышленники создали поддельное приложение, названное Google Defender, и эксплуатировали «то же легитимное OAuth-соединение, чтобы воспользоваться незнанием пользователей о том, как работают настоящие сервисы».
И хотя теперь специалисты Google утверждают, что атака затронула лишь 0,1% пользователей Gmail, майский инцидент наглядно продемонстрировал, что нужно усиливать меры безопасности.
«Мы предпринимаем ряд шагов, чтобы лучше справляться с таким атаками в будущем, в том числе пересматриваем нашу политику в отношении использования OAuth в приложениях, обновляем антиспам-системы, которые помогают предотвращать такие кампании, и усиливаем мониторинг за подозрительными сторонними приложениями, которые запрашивают информацию пользователей», — сообщает компания.
