Kompletnie nowy atak na użytkowników Google. Jeśli dasz się nabrać nawet zmiana hasła nie pomoże

Robert Kędzierski
Przestępcy stworzyli fałszywą aplikację Google Docs, by infekować ofiary

Przestępcy stworzyli fałszywą aplikację Google Docs, by infekować ofiary (Fot. za BuzzFeed/Twitter)

Specjaliści od cyberbezpieczeństwa donoszą o nowym sposobie przejmowania kontroli nad kontami Google. Ofiarom ataku nie pomoże ani zmiana hasła, ani dwustopniowa weryfikacja. Google podjął już odpowiednie kroki.

Przestępcy znaleźli zupełnie nowy sposób na przejęcie kontroli nad kontami Google. Jest groźny, bo wygląda bardzo niepozornie. Ofiara otrzymuje link do dokumentu online. Uzyskuje do niego dostęp za pomocą Google Docs - usługi wbudowanej w Gmaila.

Fałszywa wiadomość może doprowadzić do przejęcia kontroli nad kontemFałszywa wiadomość może doprowadzić do przejęcia kontroli nad kontem Fot. za Gizmodo

Podczas otwierania dokumentu użytkownik widzi zapytanie o udzielenie uprawnień. Problem polega na tym, że zadawane jest nie w imieniu autentycznej usługi Google, a fałszywej aplikacji, którą przestępcy nazwali Google Docs. 

Warto przeczytać jakich uprawnień udzielamy aplikacjiWarto przeczytać jakich uprawnień udzielamy aplikacji Warto przeczytać jakich uprawnień udzielamy aplikacji Fot. za Gizmodo

Klikając w przycisk Allow ofiara udziela im pełnego dostępu do swojego konta. 

Zmiana hasła nie pomoże

Atak jest groźny, bo zmiana hasła nie odcina przestępców od dostępu do konta. Podobnie jest z dwustopniową weryfikacją - atakującym nie są potrzebne jednorazowe hasła przesyłane przez SMS.

Metoda polega bowiem na wykorzystaniu mechanizmu OAuth stworzonego dla deweloperów. W tym wypadku nie mamy do czynienia z uczciwymi programistami, a z przestępcami, którzy stworzyli własną aplikację o nazwie Google Docs, a następnie zwrócili się do Google o wydanie tokenu OAuth. 

Google blokuje

Złośliwe oprogramowanie rozprzestrzeniało się w piorunująco szybkim tempie, ponieważ zaczynało swoje działanie od rozsyłania wiadomości do wszystkich osób w książce adresowej. Na szczęście równie szybko zareagował Google, który zablokował fałszywą aplikację - donosi TechCrunch

Firma obiecała też przygotować mechanizm, który uniemożliwi wykorzystywanie innym przestępcom OAuth.

Czytaj też: Zaglądałeś kiedyś do Darknetu i Deep Web? Kryje się tam 96 procent zasobów internetu. 

Warto jednak pamiętać o tym, by zwracać uwagę co zawiera wiadomość, nawet jeśli pochodzi od zaufanej osoby. Po raz kolejny okazuje się też, że wygoda i bezpieczeństwo nie idą ze sobą w parze. 

Zobacz także
Komentarze (25)
Kompletnie nowy atak na użytkowników Google. Jeśli dasz się nabrać nawet zmiana hasła nie pomoże
Zaloguj się
  • xynat

    Oceniono 2 razy 2

    I co tu nowego? Stara jak internet metoda -> fałszywe linki, które mimo wielu, wielu lat ostrzeżeń durni ludzie klikają bez pomyślunku.

  • 2random

    Oceniono 2 razy 2

    "stworzyli własną aplikację o nazwie Google Docs, a następnie zwrócili się do Google o wydanie tokenu OAuth"
    A Google im go dało ...
    Coś jeszcze trzeba komentować?
    Wszelkie roszczenia powinny być kierowane do Google ;)

  • trezsicki

    Oceniono 2 razy 2

    OAuth czy 0Auth ;) _____

  • Leon z Poczty

    Oceniono 3 razy 1

    Po kliknięciu linku jest jasna informacja, że "Google Docs" chce zarządzać kontaktami i mailami. Owszem nazwa jest myląca, ale należy zwracać uwagę na co pozwala się powiązanym aplikacjom! Osobiście kilkukrotnie spotkałem się z aplikacjami, które chciały za dużo uprawnień.

  • zawsze_edek

    Oceniono 3 razy 1

    zaraz zaraz! ktos chce się ze mną podzielić dokumentem, no dobrze, niecha i tak bedzie. Ale po co zezwalac na zarządzanie kontem i kontaktami w tym celu? chcę obejrzeć dokument to oglądam, nic więcej nie potrzeba do tego...., zadnych uprawnień. A już zwłaszcza do zarządzania kontem gmail - trzeba byc naprawdę idiotą, żeby dac pozwolenie na cos takiego.

  • tasiorous

    Oceniono 3 razy 1

    A czemu w artykule nie ma informacji co pomoże. Wystarczyło napisać że zabranie uprawnień rozwiązuje problem oraz podać w jaki sposób to uczynić. Wraz z wyjaśnieniem czemu zmiana hasła i podwójna autentykacja nie pomagają. A nie pomagają bo osoba trzecia nie loguje się jako my ale jako ona posiadając uprawnienia.

  • ludzki.pan

    Oceniono 3 razy 1

    banda idiotow, kompletnie ci ludzie nie wiedza co robia .. a tak zapewniali ze podwojna weryfikacja bedzie zawsze bezpieczna nie do obejscia :)

  • ben-oni

    Oceniono 13 razy 1

    "Nowy atak" na starych idiotów. Co za idiota otwiera dokumenty z nieznanych źródeł? Chyba tylko stażyści w redakcjach gazet i portali

  • asmok6

    0

    Nie rozumiem problemu. Po to właśnie są unikalne klucze do OAuth, żeby można było zablokować nieuczciwego programistę. Skoro narusza to się unieważnia klucz i autoryzacja przestaje mu działać. Na tym właśnie polega cała idea oauth, więc w czym jest problem? Chyba ktoś coś źle opisał.

Aby ocenić zaloguj się lub zarejestrujX

Najczęściej czytane

Najnowsze informacje