近日��,互聯(lián)網(wǎng)行業(yè)的記者們紛紛收到了釣魚郵件��,郵件內(nèi)容是別人分享的Google文檔。這種釣魚攻擊把蠕蟲傳播方式也結合在了一起,并且通過手段使得釣魚更難甄別��。
釣魚與蠕蟲的結合
一旦點擊了鏈接��,你就會被重定向到一個頁面,頁面內(nèi)容是Google文檔(Google Docs)申請獲取以下權限:讀取��、發(fā)送和刪除郵件��;獲取聯(lián)系人��。如果你點擊了允許��,黑客就能立即管理你的Gmail賬號��,獲取到你所有的郵件��、聯(lián)系人��,并且不需要你的密碼��。
事實上,受害者們收到的是一個假的Google文檔��,黑客創(chuàng)建了一個名為”Google Docs”虛假應用��,然后通過上述的Oauth認證獲取你的賬號信息��。而真正的Google文檔是不會請求Gmail賬號的權限的��。
這種攻擊手段實際上與上周趨勢科技的報告中Pawn Storm黑客組織的手法很相似��?�!?/span>兵風暴(Pawn Storm)”行動是一場被指由俄羅斯政府支持的黑客組織所進行的網(wǎng)絡間諜活動��。他們一直在使用新的方法進行釣魚攻擊��。報告中��,Pawn Storm所使用的釣魚手法是彈出偽造成Google安全警告的提示��,命名為”Google Defender”��。
黑客獲取權限后會將同樣的Google文檔釣魚郵件以你的名義發(fā)送給你的所有聯(lián)系人��。而攻擊的可怕之處也在于此,只有每一級的傳播都是看似來自熟人的郵件��,這使得鑒別釣魚郵件的難度提升��。
由于你的私人和公務郵箱往往會用作很多賬號的恢復郵箱��,因此黑客極有可能控制你的各種賬號��,包括蘋果��、Facebook和Twitter賬號��。
簡而言之��,所有有關這個Gmail賬號的賬戶都可能存在被黑客攻擊的危險��,即便開啟了雙因素認證��。
得益于其“蠕蟲”性質(zhì)��,Google文檔釣魚攻擊的傳播速度非?�??�,起初只是在記者之間傳播��,之后很快廣泛擴散開來��,很多使用Gmail作為郵箱的組織和新聞機構紛紛中招��,與此同時��,還有大量個人用戶也遭受攻擊��。
如何識別這些郵件
你的郵件地址會出現(xiàn)在”BCC:”一欄��,而不是直接的收件人��,盡管這封郵件來自你認識的人��。
收件人地址是一個以mailinator.com結尾的郵箱(很多郵箱是”hhhhhhhhhhhhhhhh@mailinator.com”��,mailinator事后發(fā)表聲明��,聲稱郵件不是由他們發(fā)出的)
如果以源碼形式查看文檔的分享鏈接��,你就會看到一個看似來自Google文檔的地址��,比如:
googledocs.docscloud.download
googledocs.docscloud.info
googledocs.docscloud.win
googledocs.g-cloud.pro
googledocs.g-cloud.win
googledocs.g-docs.pro
googledocs.g-docs.win
googledocs.gdocs.download
googledocs.gdocs.pro
googledocs.gdocs.win
漏洞修復
截至目前��,Google已采取行動打擊了這次釣魚攻擊��,所有與釣魚攻擊相關聯(lián)的域名已經(jīng)全部下線,whois記錄也已經(jīng)被清除��,用戶授予的訪問權限也已經(jīng)從賬號上移除��。
大家仍可遵照以下步驟檢查你的Google賬號授予了哪些應用哪些權限:
1. 打開Google賬號設置頁面
2. 選擇“登錄與安全”項目下的“關聯(lián)的應用和網(wǎng)站”檢查關聯(lián)到你帳號的應用
*參考來源:THN��,本文作者:Sphinx��,轉載請注明來自FreeBuf.COM
