Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

近日爆發大規模假冒 Google Docs 邀請的釣魚信件,受害者會收到來自熟人的 Gmail 郵件,要求開放權限給 「Google Docs」應用程式,一旦授權,歹徒不僅能讀取 Gmail信件,還能利用其名義發釣魚信給通訊錄中的每一個聯絡人,因此這個不肖程式短期內廣為擴散。無獨有偶,最新勒索病毒 Mole, 也利用 Google Doc 散播!

新型態網路釣魚,與激進駭客組織 Pawn Storm “偽裝 Gmail 的安全通知”手法雷同

這個冒牌的 Google Docs 應用程式有別於一般的網路釣魚攻擊,不會騙取使用者的帳號密碼,而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證,簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

若您最近若收到看似正常的 Google Docs 文件連結,小心成為最新一波精密網路釣魚攻擊的受害者。在這波網路釣魚詐騙當中,歹徒假冒的 Google Docs ,因此較一般傳統網路釣魚(Phishing)更容易讓人失去戒心。

首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。

冒牌的 Google Docs 應用程式,不會騙取帳號密碼,而是利用 OAuth機制登入使用者的帳號

這個冒牌的 Google Docs 應用程式有別於真正的網路釣魚攻擊,不會騙取使用者的帳號密碼,而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證,簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制,此機制的好處是使用者不須提供自己的帳號密碼,而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
儘管 OAuth 既方便又應用廣泛,但卻也可能讓使用者暴露於風險。駭客可只需設法通過服務供應商的背景審查,就能讓自己的應用程式通過驗證,成為可以合法使用 OAuth 機制的應用程式。接著駭客就能利用進階社交工程(social engineering )詐騙來騙取使用者的 OAuth 認證碼。由於某些網路服務供應商只會要求第三方應用程式提供電子郵件地址和網站網址就能使用 OAuth。因此,像 Pawn Storm 這樣經驗豐富的駭客團體才能利用 OAuth 來從事網路釣魚詐騙。比如偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式 (如下圖)………>>看完整報導

Google Defender 發出的存取權限允許請求:偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式
惡名昭彰的Pawn Storm 網路間諜攻擊,也曾偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式

 

Google 在 Twitter 帳號上發表聲明

Google 是從Reddit 討論串聽到這項風聲,並隨即在一小時內將這個不肖應用程式下架。此外也在其官方 Twitter 帳號上發表以下聲明 (如圖):

Google 呼籲所有懷疑自己可能已經遭駭的使用者盡快前往帳號權限設定網頁,查看一下有哪些第三方應用程式曾經存取帳號,移除可疑的應用程式。

此事件給我們最大的教訓是,網路犯罪集團經常會假冒一些正牌應用程式來讓受害者上當。雖然這一波攻擊似乎並未用到惡意程式,但其驚人的散播速度和廣度已足以讓人擔憂。為了防範這項威脅,使用者在收到任何檔案或連結時都應特別提高警覺,即使是來自熟人也不能大意。Google 目前正在研究如何避免這類問題再度發生,因此這段期間使用者最好不要點選任何 Google Docs 連結,除非真的確認安全無虞。

趨勢科技解決方案

趨勢科技 InterScan™ Messaging Security  能運用全球威脅情報在雲端攔截電子郵件威脅,並且利用資料外洩防護與加密來保護您的資料,同時又能發掘針對性攻擊電子郵件、勒索病毒與進階持續性滲透攻擊 (APT),是趨勢科技 Network Defense 網路防禦解決方案不可或缺的一環。  其混合式 SaaS 部署選項結合了企業內部署虛擬裝置的隱私與掌控能力,以及雲端式預先過濾的主動防護。

趨勢科技 Hosted Email Security  是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。它能保護 Microsoft Exchange、Microsoft Office 365、Google Apps 以及其他代管式或企業內電子郵件產品。

 

原文出處:Attack Uses Fake Google Docs Application to Access Gmail Accounts

 

—————-

 

》 趨勢科技郵件防護達人是一套免費的服務,可以幫助您自動封鎖可疑信件,防勒索病毒以及BEC 變臉詐騙,而且不會影響您電腦的效能。》即刻啟動防護

*關於 BEC 變臉詐騙

大部分的勒索病毒都藏匿於電子郵件中! 根據調查2016 年,42%被勒索病毒攻擊的小企業選擇支付了罰金,不過大約四分之一的公司最終沒有拿回自己的資料!

一封郵件騙走一棟房子 」?!針對中小企業的變臉詐騙(BEC),常冒用公司高階主管發送「緊急通知」或「付款到期」信件,駭人獲利竟達 30 億美元!




 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。