最近出現了大量專門騙取 Google 帳號存取權限的新式網路釣魚郵件,其會存取受害人的電子郵件信箱和聯絡人,進一步詳細資訊,請參閱 The Verge、Quartz 和 Ars Technica 網站。這一波網路釣魚是駭客大規模竊取使用者帳號存取權限最惡毒的手法。
「Google Docs」連結暗藏危機!一點開帳號全都露
在這波攻擊當中,受害者會收到一封看似正常的電子郵件,裡面附了一個「在 Docs 中開啟」(Open in Docs) 的按鈕。此按鈕背後是一個完全正常的連結,它會連上 Google 的 OAuth 認證服務。駭客會先設計好一個不肖應用程式,然後經由網路釣魚電子郵件散布前述連結來誘騙使用者在 Google 的 OAuth 服務上授權應用程式存取使用者的帳號。
首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。
這項技巧非常高明,因為歹徒不需在電子郵件當中夾帶惡意檔案。而且因為這個連結是指向 Google 的服務,因此一般過濾軟體也不會加以攔截。所以,要防範這類攻擊,非常依賴使用者自己的安全意識。
《延伸閱讀》:Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用
「Google Defender」宣稱可以保障使用者的帳號安全,但其實是新型的網路釣魚手法!
一般的網路釣魚攻擊,目標都是希望駭入使用者的電腦。但這類網路釣魚的目標,卻是進入使用者的 Google 帳號。
我們曾經見過一個叫「Pawn Storm」的駭客團體使用過這類技巧。在那次攻擊中,駭客設計了一個名叫「Google Defender」的不肖應用程式,宣稱可以保障使用者的帳號安全,但其實正好相反!
Pawn Storm 的攻擊同樣也是利用使用者對 OAuth 服務的不了解。當駭客的目標是您的 Google 帳號時,歹徒的攻擊就很難防範,也很難偵測。
《延伸閱讀》:登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板
