騙取 Google 帳號存取權限的新式網路釣魚郵件正夯

趨勢科技 TrendMicro OAuth 登入憑證網路釣魚, OAuth 網路釣魚, 網路釣魚 Phishing

最近出現了大量專門騙取 Google 帳號存取權限的新式網路釣魚郵件,其會存取受害人的電子郵件信箱和聯絡人,進一步詳細資訊,請參閱 The VergeQuartzArs Technica 網站。這一波網路釣魚是駭客大規模竊取使用者帳號存取權限最惡毒的手法。

Google Docs連結暗藏危機!一點開帳號全都露

在這波攻擊當中,受害者會收到一封看似正常的電子郵件,裡面附了一個「在 Docs 中開啟」(Open in Docs) 的按鈕。此按鈕背後是一個完全正常的連結,它會連上 Google 的 OAuth 認證服務。駭客會先設計好一個不肖應用程式,然後經由網路釣魚電子郵件散布前述連結來誘騙使用者在 Google 的 OAuth 服務上授權應用程式存取使用者的帳號。

首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。

這項技巧非常高明,因為歹徒不需在電子郵件當中夾帶惡意檔案。而且因為這個連結是指向 Google 的服務,因此一般過濾軟體也不會加以攔截。所以,要防範這類攻擊,非常依賴使用者自己的安全意識。

《延伸閱讀》:Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

「Google Defender」宣稱可以保障使用者的帳號安全,但其實是新型的網路釣魚手法!

一般的網路釣魚攻擊,目標都是希望駭入使用者的電腦。但這類網路釣魚的目標,卻是進入使用者的 Google 帳號。

我們曾經見過一個叫「Pawn Storm」的駭客團體使用過這類技巧。在那次攻擊中,駭客設計了一個名叫「Google Defender」的不肖應用程式,宣稱可以保障使用者的帳號安全,但其實正好相反!

Pawn Storm 的攻擊同樣也是利用使用者對 OAuth 服務的不了解。當駭客的目標是您的 Google 帳號時,歹徒的攻擊就很難防範,也很難偵測。

《延伸閱讀》:登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

 

Google Defender 發出的存取權限允許請求:偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式
惡名昭彰的Pawn Storm 網路間諜攻擊,也曾偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式

立馬檢查連結至您 Google 帳號的應用程式

最近這波攻擊行動所假冒的是「Google Docs」應用程式,絕大多數使用者都不曉得真正的 Google Docs 和 Google Drive 應用程式其實不需要經由 OAuth 機制就能存取您的 Google 帳號。因為它們已整合在 Google 的服務當中,所以採用的是另一種安全認證機制 (通常是跟隨著文件或資料夾)。

您可以參考 Google 支援網站上有關文件分享的說明。

萬一您真的不小心授權了這類程式存取您的帳號,您可以到 Google 帳號連結管理頁面去取消連結,只要到: https://profiles.google.com/connectedaccounts,找到「Google Docs」這個應用程式,然後再按「移除」(Remove) 按鈕即可。

更新資訊:所幸,Google 已掌握到這個情況,也封鎖了這個不肖應用程式,因此使用者應該無法再建立新的帳號連結。原本已經建立的連結應該也已被移除,但您還是自己確認一下比較妥當。]

當您開啟該頁面時,您應該可以看到所有連結至您 Google 帳號的應用程式。或許您會訝異地發現有些老舊的應用程式或是您不知道有連結的應用程式。第三方帳號連結是一種常見的攻擊手法,還好能夠輕易防範,使用者只需定期檢查一下,此原則對您的 FacebookTwitter LinkedIn 等帳號也同樣適用。

這不會是第一次、也不會是最後一次

網路釣魚目前依然是歹徒最常用的攻擊手法之一。我們看到歹徒不斷有新鮮、奇怪的手法來誘騙使用者做出一些讓系統遭到入侵的動作。當駭客運用一些合法的手段 (如 OAuth 認證機制) 來攻擊使用者的 Google、Facebook、Twitter、LinkedIn 等網路帳號時,一般的防禦將發揮不了作用。此時,您只能仰賴加強安全意識來加以防範。這不會是第一次、也不會是最後一次歹徒利用 OAuth 認證機制來入侵使用者的帳號。

 

 

《延伸閱讀》

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板
Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

 

》 趨勢科技郵件防護達人是一套免費的服務,可以幫助您自動封鎖可疑信件

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
假「雙子殺手」線上看,真騙 LINE 帳密!
專挑名人IG ( Instagram )帳號的駭客集團現身
【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票...(6-1)