Pratite nas preko RSS-aSpektakularni fišing napad primorao Google da poboljša odbranu
Vesti, 09.05.2017, 00:00 AM
Prošlonedeljnom spektakularnom fišing napadu bilo je izloženo oko milion korisnika Gmaila.
"Žrtve ovog napada dobile su email koji se činio kao legitimni poziv za Google Doc jednog od njihovih kontakata. Kada bi korisnici kliknuli na link u emailu, preusmeravani su na aplikaciju napadača, koja je tražila pristup korisničkom nalogu pod izgovorom da će tako dobiti pristup Google Doc. Ako bi korisnik odobrio aplikaciji pristup (preko mehanizma zvanog OAuth), njegova lista kontakata je korišćena za slanje iste poruke drugim ljudima", objasnili su iz Googlea.
Napad je omogućio loš dizajn izbora u OAuth interfejsu. Jedina informacija koja je odmah prikazivana korisnicima je naziv i logo aplikacije koja traži dozvolu, ali nigde nije bilo kristalno jasno da je reč o third-party aplikaciji a ne o Googleovoj aplikaciji.
U ovom napadu, maliciozna aplikacija koja je nazvana "Google Docs" i ikona Google Drivea bili su dovoljni da prevare mnoge koji su poverovali da je reč o legitimnoj Googleovoj aplikaciji.
Na ovu mogućnost su istraživači upozorili još oktobra 2011., a zatim još jednom septembra 2014.
Ali Google očigledno nije smatrao da je reč o velikom riziku.
Stručnjaci očekuju još ovakvih napada u budućnosti.
Zbog ovog poslednjeg napada, Google je bio primoran da obeća da će poboljšati zaštite, ali nije izneo više detalja o tome.
Iz kompanije su rekli da su preduzeli nekoliko koraka u botbi protiv ove vrste napada u budućnosti, koji uključuju promenu politike, ažuriranje anti-spam sistema i praćenje sumnjivih third-party aplikacija koje traže informacije od korisnika. Sada ostaje da se vidi koliko će delotvorne biti ove promene.
"Nedavni Google Doc fišing napad pokazuje da ovi napadi postaju sve sofisticiraniji, da ih je teže uočiti i da vrlo brzo mogu da prouzrokuju štetu. Najbolji način da se organizacije zaštite je kontinuirana obuka korisnika o tome kako uočiti sumnjive emailove i informisanje o novim tehnikama napada. Ako organizacije ne preduzimaju korake da bi pomogle zaposlenima da identifikuju sumnjive emailove, one direktno dovode u opasnost njihove lične informacije i sisteme", kaže Džo Ferara, direktor firme Wombat Security.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
.jpg)
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
.jpg)
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade
Prijatelji
