Kompletnie nowy atak na użytkowników Google. Jeśli dasz się nabrać nawet zmiana hasła nie pomoże

Robert Kędzierski
Specjaliści od cyberbezpieczeństwa donoszą o nowym sposobie przejmowania kontroli nad kontami Google. Ofiarom ataku nie pomoże ani zmiana hasła, ani dwustopniowa weryfikacja. Google podjął już odpowiednie kroki.

Przestępcy znaleźli zupełnie nowy sposób na przejęcie kontroli nad kontami Google. Jest groźny, bo wygląda bardzo niepozornie. Ofiara otrzymuje link do dokumentu online. Uzyskuje do niego dostęp za pomocą Google Docs - usługi wbudowanej w Gmaila.

Fałszywa wiadomość może doprowadzić do przejęcia kontroli nad kontemFałszywa wiadomość może doprowadzić do przejęcia kontroli nad kontem Fot. za Gizmodo

Podczas otwierania dokumentu użytkownik widzi zapytanie o udzielenie uprawnień. Problem polega na tym, że zadawane jest nie w imieniu autentycznej usługi Google, a fałszywej aplikacji, którą przestępcy nazwali Google Docs. 

Warto przeczytać jakich uprawnień udzielamy aplikacjiWarto przeczytać jakich uprawnień udzielamy aplikacji Warto przeczytać jakich uprawnień udzielamy aplikacji Fot. za Gizmodo

Klikając w przycisk Allow ofiara udziela im pełnego dostępu do swojego konta. 

Zmiana hasła nie pomoże

Atak jest groźny, bo zmiana hasła nie odcina przestępców od dostępu do konta. Podobnie jest z dwustopniową weryfikacją - atakującym nie są potrzebne jednorazowe hasła przesyłane przez SMS.

Metoda polega bowiem na wykorzystaniu mechanizmu OAuth stworzonego dla deweloperów. W tym wypadku nie mamy do czynienia z uczciwymi programistami, a z przestępcami, którzy stworzyli własną aplikację o nazwie Google Docs, a następnie zwrócili się do Google o wydanie tokenu OAuth. 

Google blokuje

Złośliwe oprogramowanie rozprzestrzeniało się w piorunująco szybkim tempie, ponieważ zaczynało swoje działanie od rozsyłania wiadomości do wszystkich osób w książce adresowej. Na szczęście równie szybko zareagował Google, który zablokował fałszywą aplikację - donosi TechCrunch

Firma obiecała też przygotować mechanizm, który uniemożliwi wykorzystywanie innym przestępcom OAuth.

Czytaj też: Zaglądałeś kiedyś do Darknetu i Deep Web? Kryje się tam 96 procent zasobów internetu. 

Warto jednak pamiętać o tym, by zwracać uwagę co zawiera wiadomość, nawet jeśli pochodzi od zaufanej osoby. Po raz kolejny okazuje się też, że wygoda i bezpieczeństwo nie idą ze sobą w parze.