Spektakularni fišing napad primorao Google da poboljša odbranu

Vesti, 09.05.2017, 00:00 AM

Prošlonedeljnom spektakularnom fišing napadu bilo je izloženo oko milion korisnika Gmaila.

"Žrtve ovog napada dobile su email koji se činio kao legitimni poziv za Google Doc jednog od njihovih kontakata. Kada bi korisnici kliknuli na link u emailu, preusmeravani su na aplikaciju napadača, koja je tražila pristup korisničkom nalogu pod izgovorom da će tako dobiti pristup Google Doc. Ako bi korisnik odobrio aplikaciji pristup (preko mehanizma zvanog OAuth), njegova lista kontakata je korišćena za slanje iste poruke drugim ljudima", objasnili su iz Googlea.

Napad je omogućio loš dizajn izbora u OAuth interfejsu. Jedina informacija koja je odmah prikazivana korisnicima je naziv i logo aplikacije koja traži dozvolu, ali nigde nije bilo kristalno jasno da je reč o third-party aplikaciji a ne o Googleovoj aplikaciji.

U ovom napadu, maliciozna aplikacija koja je nazvana "Google Docs" i ikona Google Drivea bili su dovoljni da prevare mnoge koji su poverovali da je reč o legitimnoj Googleovoj aplikaciji.

Na ovu mogućnost su istraživači upozorili još oktobra 2011., a zatim još jednom septembra 2014.

Ali Google očigledno nije smatrao da je reč o velikom riziku.

Stručnjaci očekuju još ovakvih napada u budućnosti.

Zbog ovog poslednjeg napada, Google je bio primoran da obeća da će poboljšati zaštite, ali nije izneo više detalja o tome.

Iz kompanije su rekli da su preduzeli nekoliko koraka u botbi protiv ove vrste napada u budućnosti, koji uključuju promenu politike, ažuriranje anti-spam sistema i praćenje sumnjivih third-party aplikacija koje traže informacije od korisnika. Sada ostaje da se vidi koliko će delotvorne biti ove promene.

"Nedavni Google Doc fišing napad pokazuje da ovi napadi postaju sve sofisticiraniji, da ih je teže uočiti i da vrlo brzo mogu da prouzrokuju štetu. Najbolji način da se organizacije zaštite je kontinuirana obuka korisnika o tome kako uočiti sumnjive emailove i informisanje o novim tehnikama napada. Ako organizacije ne preduzimaju korake da bi pomogle zaposlenima da identifikuju sumnjive emailove, one direktno dovode u opasnost njihove lične informacije i sisteme", kaže Džo Ferara, direktor firme Wombat Security.