CloudPhishing — атака на пользователей Gmail

Вторник, 8 Май 2018

18402584_1713401435338468_944791691709483207_n

CloudPhishing — атака на пользователей Gmail, случившаяся на прошлой неделе

3 мая пользователи Gmail начали получать на свои почтовые ящики фишинговые письма со ссылками на Google Docs. В поле отправителя, а также в теле письма указывались данные пользователя из списка контактов жертвы. Отправитель якобы предоставлял получателю доступ к документам, размещенным в Google Docs. При открытии ссылки в письме, пользователь перенаправлялся на легитимную страницу выбора аккаунта Google, но непосредственно после выбора, пользователь должен был предоставить приложению, маскирующемся под официальное приложение Google Docs, доступ к письмам, адресной книге и др.

После этого, рассылка происходила на весь контакт-лист жертвы. При этом, стоит заметить, что таргетированный пользователь всегда находился в копии письма, получателем которого выступал адрес hhhhhhhhhhhhhhhh@mailinator.com. Отправителем — последний пользователь, открывший ссылку и предоставивший приложению запрашиваемые права.

Данная атака получила название CloudPhishing. Согласно последним отчетам Google, атака была успешной в одном из тысячи случаев, т.е. по предварительным подсчетам, около миллиона пользователей стали жертвами успешной фишинговой рассылки. На данный момент фейковое приложение Google Docs деактивировано, а разрешения для него отозваны. Также Google выпустил обновления Gmail для Android. Теперь, в случае получения подозрительного сообщения, пользователь будет уведомлен о наличии в нем фишинговой ссылки

Пользователям, давшим доступ не легитимному приложению к данным рекомендуется ограничить доступ к приложениям внеся настройки доступа по ссылке: https://myaccount.google.com/permissions.

Хоть Google и удалось провести работы по митигации атаки, злоумышленники получили обширную базу данных почтовых ящиков Gmail для проведения дальнейших таргетированных рассылок.

Интересно, что об уязвимости, которая привела к данной атаке было известно еще в 2011 году. Андре Де’Марра в своем блоге описал возможности проведения и последствия такой атаки и даже получил награду от Google в 2012 году за обнаружение проблемы.

Для защиты от спирфишинговой рассылки, для пользователей Gmail, а также корпоративных почтовых сред CheckPoint рекомендует использовать технологию SandBlast, которая способна предотвратить атаки нулевого дня такого типа.

Integrity Vision является официальным партнером CheckPoint по специализации SandBlast. Мы можем предоставить оборудование на тестирование вашей инфраструктуры.

 

×
Оставьте свой номер и мы вам перезвоним