Pratite nas preko RSS-aSpektakularni fišing napad primorao Google da poboljša odbranu
Vesti, 09.05.2017, 00:00 AM
Prošlonedeljnom spektakularnom fišing napadu bilo je izloženo oko milion korisnika Gmaila.
"Žrtve ovog napada dobile su email koji se činio kao legitimni poziv za Google Doc jednog od njihovih kontakata. Kada bi korisnici kliknuli na link u emailu, preusmeravani su na aplikaciju napadača, koja je tražila pristup korisničkom nalogu pod izgovorom da će tako dobiti pristup Google Doc. Ako bi korisnik odobrio aplikaciji pristup (preko mehanizma zvanog OAuth), njegova lista kontakata je korišćena za slanje iste poruke drugim ljudima", objasnili su iz Googlea.
Napad je omogućio loš dizajn izbora u OAuth interfejsu. Jedina informacija koja je odmah prikazivana korisnicima je naziv i logo aplikacije koja traži dozvolu, ali nigde nije bilo kristalno jasno da je reč o third-party aplikaciji a ne o Googleovoj aplikaciji.
U ovom napadu, maliciozna aplikacija koja je nazvana "Google Docs" i ikona Google Drivea bili su dovoljni da prevare mnoge koji su poverovali da je reč o legitimnoj Googleovoj aplikaciji.
Na ovu mogućnost su istraživači upozorili još oktobra 2011., a zatim još jednom septembra 2014.
Ali Google očigledno nije smatrao da je reč o velikom riziku.
Stručnjaci očekuju još ovakvih napada u budućnosti.
Zbog ovog poslednjeg napada, Google je bio primoran da obeća da će poboljšati zaštite, ali nije izneo više detalja o tome.
Iz kompanije su rekli da su preduzeli nekoliko koraka u botbi protiv ove vrste napada u budućnosti, koji uključuju promenu politike, ažuriranje anti-spam sistema i praćenje sumnjivih third-party aplikacija koje traže informacije od korisnika. Sada ostaje da se vidi koliko će delotvorne biti ove promene.
"Nedavni Google Doc fišing napad pokazuje da ovi napadi postaju sve sofisticiraniji, da ih je teže uočiti i da vrlo brzo mogu da prouzrokuju štetu. Najbolji način da se organizacije zaštite je kontinuirana obuka korisnika o tome kako uočiti sumnjive emailove i informisanje o novim tehnikama napada. Ako organizacije ne preduzimaju korake da bi pomogle zaposlenima da identifikuju sumnjive emailove, one direktno dovode u opasnost njihove lične informacije i sisteme", kaže Džo Ferara, direktor firme Wombat Security.
Izdvojeno
Napadi podržani veštačkom inteligencijom gotovo udvostručeni u 2025.
Broj sajber napada u kojima su napadači koristili veštačku inteligenciju gotovo se udvostručio tokom 2025. godine, navodi se u najnovijem izvešta... Dalje
Microsoft potvrdio da je Copilot zbog greške obrađivao poverljive mejlove
Microsoft je potvrdio da je softverska greška u Microsoft 365 Copilot Chat omogućila AI asistentu da sumira poverljive mejlove, čak i kada su bile ... Dalje
Facebook oglasi šire lažno Windows 11 ažuriranje
Istraživači iz kompanije Malwarebytes upozoravaju da sajber-kriminalci koriste plaćene Facebook oglase koji imitiraju Microsoft promocije za Window... Dalje
Lažni Google oglasi za 7-Zip, LibreOffice i Final Cut Pro šire MacSync malver
Korisnici Mac računara koji traže popularni softver poput 7-Zip, Notepad++, LibreOffice ili Final Cut Pro mogu se naći usred aktivne kampanje lažn... Dalje
Chrome ekstenzije prikupljale podatke 37 miliona korisnika
Istraživanje bezbednosnog istraživača Q Continuum otkriva da 287 popularnih Chrome ekstenzija prikuplja i deli podatke o istoriji pretraživanja ok... Dalje
Pratite nas
Nagrade
Prijatelji
