Γιατί η απάτη των Εγγράφων Google ήταν διαφορετικό είδος ηλεκτρονικού "ψαρέματος" (phishing)

Πρόκειται για ένα σχέδιο ηλεκτρονικού ψαρέματος (phishing), το οποίο δεν θα διορθώσει ακόμη και τον έλεγχο ταυτότητας πολλών παραγόντων και την αλλαγή του κωδικού πρόσβασης.

Την Τετάρτη, μια τεράστια επίθεση ηλεκτρονικού "ψαρέματος" στο Google Docs εξαπλώθηκε μέσω του Gmail, απατώντας τους λογαριασμούς των ανθρώπων και ανεπιθύμητη αλληλογραφία στις λίστες επαφών των θυμάτων. Η Google έκλεισε γρήγορα την επίθεση, η οποία επηρέασε περίπου το 0, 1% των χρηστών του Gmail.

Ακόμη και σε αυτόν τον χαμηλό αριθμό, με περίπου 1 δισεκατομμύριο χρήστες Gmail, εξακολουθεί να υπάρχει τουλάχιστον 1 εκατομμύριο άνθρωποι που διακυβεύονται. Και η τυπική ανίχνευση ηλεκτρονικού "ψαρέματος" που προσφέρει το Gmail δεν μπόρεσε να την εμποδίσει επειδή η επίθεση δεν χρειαζόταν καν θύματα για να πληκτρολογήσουν τους κωδικούς πρόσβασής τους.

Η απάτη ηλεκτρονικού "ψαρέματος" βασίστηκε στην εκμετάλλευση του OAuth, ένα σπάνιο σχέδιο που εκτέθηκε στον κόσμο την Τετάρτη. Το OAuth, το οποίο αντιπροσωπεύει την Άδεια Άνοιγμα, επιτρέπει στις εφαρμογές και τις υπηρεσίες να "μιλούν" ο ένας στον άλλο χωρίς να συνδεθούν στους λογαριασμούς σας. Σκεφτείτε πώς η Amazon Alexa σας μπορεί να διαβάσει τα συμβάντα του Ημερολογίου Google ή πώς οι φίλοι σας στο Facebook μπορούν να δουν ποιο τραγούδι ακούτε στο Spotify. Τα τελευταία τρία χρόνια, οι εφαρμογές που χρησιμοποιούν το OAuth σημείωσαν άνοδο από 5.500 σε 276.000, σύμφωνα με την Cisco Cloudlock.

"Τώρα που αυτή η τεχνική είναι ευρέως γνωστή, είναι πιθανό να δημιουργήσει ένα σημαντικό πρόβλημα - υπάρχουν τόσα πολλά online υπηρεσίες που χρησιμοποιούν το OAuth και είναι δύσκολο για αυτούς να ελέγχουν πλήρως όλες τις εφαρμογές τρίτων εκεί έξω», δήλωσε ο Greg Martin, Διευθύνων Σύμβουλος της επιχείρησης cybersecurity Jask, σε ένα ηλεκτρονικό ταχυδρομείο.

Ποια ήταν η εκμετάλλευση των Εγγράφων Google από τις τυπικές επιθέσεις phishing;

Μια τυπική επίθεση phishing περιλαμβάνει έναν ιστότοπο που σκοπό έχει να σας εξαπατήσει να πληκτρολογείτε τον κωδικό πρόσβασής σας, να στέλνετε ευαίσθητες πληροφορίες στον κλέφτη ή να το καταγράφετε σε μια βάση δεδομένων.

Με την εκμετάλλευση του OAuth, όπως και στην περίπτωση της απάτης των Εγγράφων Google, οι λογαριασμοί μπορούν να απαγορευτούν χωρίς ο χρήστης να πληκτρολογεί τίποτα. Στο πρόγραμμα Google Docs, ο εισβολέας δημιούργησε μια ψεύτικη έκδοση των Εγγράφων Google και ζήτησε την άδεια να διαβάσει, να γράψει και να έχει πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου του θύματος.

Χορηγώντας το δικαίωμα εκμετάλλευσης του OAuth, έχετε δώσει αποτελεσματικά στους κακούς πρόσβαση στο λογαριασμό σας χωρίς να χρειάζεται κωδικό πρόσβασης.

Γιατί δεν μπορώ να αλλάξω τον κωδικό μου;

Το OAuth δεν λειτουργεί μέσω κωδικών πρόσβασης, αλλά λειτουργεί μέσω αναγνωριστικών δικαιωμάτων. Εάν ένας κωδικός πρόσβασης είναι ένα κλειδί που κλειδώνει τις πόρτες του λογαριασμού σας, το OAuth είναι ένας θυρωρός που έχει τα κλειδιά και ο οποίος παίρνει εξαπατημένο να αφήνει άλλους ανθρώπους μέσα.

Θα χρειαστεί να ανακαλέσετε τα δικαιώματα για να κλωτσήσετε τους εισβολείς.

Γιατί δεν τερματίζεται η επαλήθευση πολλαπλών παραγόντων από το OAuth;

Οι έλεγχοι ταυτότητας πολλαπλών παραμέτρων λειτουργούν ζητώντας να εισαγάγετε έναν κωδικό ασφαλείας όταν προσπαθείτε να συνδεθείτε μέσω κωδικού πρόσβασης.

Και πάλι, σε αυτή την εκμετάλλευση, οι κωδικοί πρόσβασης δεν είναι το σημείο εισόδου. Έτσι, όταν οι hackers χρησιμοποιούν OAuth εκμεταλλεύσεις, δεν χρειάζεται να εισάγουν έναν κωδικό πρόσβασης - το θύμα που εξαπατήθηκε να δώσει άδεια έχει ήδη κάνει.

"Οι ίδιες οι εφαρμογές δεν απαιτείται να έχουν δεύτερο παράγοντα από τη στιγμή που ο χρήστης έχει δώσει άδειες", σύμφωνα με την έρευνα της Cisco.

Λοιπόν, τι πρέπει να κάνω αν έπεσα για κάτι σαν την απάτη ηλεκτρονικού "ψαρέματος" του Gmail;

Ευτυχώς, η διόρθωση είναι πιο εύκολη από ό, τι αν πέσετε για ένα πρότυπο εκμεταλλευόμενο το phishing. Στην περίπτωση της Google, μπορείτε να ανακαλέσετε τα δικαιώματα μεταβαίνοντας στη διεύθυνση //myaccount.google.com/permissions. Αν η ψεύτικη εφαρμογή τεθεί εκτός λειτουργίας, όπως έκανε και η Google με τα φαντάσματα Google Docs, η άδεια θα ανακληθεί επίσης αυτόματα.

Για άλλες υπηρεσίες που χρησιμοποιούν OAuth, μπορεί να μην είναι τόσο απλή. Οι περισσότερες υπηρεσίες που βασίζονται στο OAuth θα έχουν μια σελίδα όπου μπορείτε να διαχειριστείτε τα δικαιώματά σας, όπως η σελίδα Εφαρμογές Twitter. Στις συσκευές Android 6.0, μπορείτε να ανακαλέσετε δικαιώματα στις Διαχείριση εφαρμογών στις ρυθμίσεις σας.

Δυστυχώς, υπάρχουν εκατοντάδες χιλιάδες εφαρμογές που χρησιμοποιούν το OAuth και δεν υπάρχει αρκετός χρόνος για τους περισσότερους ανθρώπους να βρουν όλες τις σελίδες αδειών για αυτούς.

CNET Magazine: Δείτε μια δειγματοληψία των ιστοριών που θα βρείτε στην έκδοση του CNET.

Είναι περίπλοκο: αυτό χρονολογείται στην ηλικία των εφαρμογών. Διασκεδάζοντας ακόμα; Αυτές οι ιστορίες φτάνουν στην καρδιά του θέματος.

 

Αφήστε Το Σχόλιό Σας