导语:最近,互联网上上演了一出好戏——网络钓鱼蠕虫伪装成“Google文档”通过电子邮件的方式肆意横行。
最近,互联网上上演了一出好戏——网络钓鱼蠕虫伪装成“Google文档”通过电子邮件的方式肆意横行。
首先,它会发送一封声称是来自你朋友或者亲戚的电子邮件,内容则是想要分享这个文档给你,而在你点击“在文档中打开”按钮时,它就会要求你登陆Google,然后弹出一个很熟悉的OAuth请求,希望能够获取一些权限。而当你选择了“允许”,那么你就会允许其完全控制你的电子邮件并且能够访问所有联系人。在此之后,蠕虫就会继续通过电子邮件通知你的联系人列表中的每个人,当然除此之外,只有上帝才会知道所有受害者的电子邮箱里还有什么。
事实上,这个蠕虫的有趣之处在于它是怎么样做到让人们彻底相信的—电子邮箱使用了与Google文档共享到电子邮件完全相同的话语以及完全相同的“打开”按钮,点击链接之后也出现了一个由Google服务器提供的正宗的Google登陆界面。接下来就是那个仍然是真实的Google OAuth权限页面,也是来自Google的服务器。这时你会发现其实最为关键的一点就是声称是“Google文档”是一个应用程序而不是Google Docs。下图就展示了名为“Google文档”的第三方应用程序与Google文档徽标相匹配的配置文件。
而能去发现这一情况的唯一方法就是点击“Google文档”名称旁边的向下箭头,这里显示的是开发者的信息而不是谷歌的,比如下图就是显示了一个随机的人与其电子邮件“[email protected]”。真正的Google应用程序会一直使用OAuth,但如果你打开开发者信息,你就会看到一些“@ google.com”电子邮件。而且,网络钓鱼者不是将你重定向到Google页面,而是尝试加载几个不同的“Google sounding”网址,在本例中是,“googledoc.g-docs.pro”。
通过这一例子我们发现,当蠕虫与Google的基础架构紧密相连时,那么谷歌的缺点就会愈发明显,主要原因就在于谷歌是有一些控制权的。他们会关闭OAuth请求并将用户重定向到错误页面,并且还会自动撤销所有人的帐户权限。有一段时间,蠕虫病毒完全可以访问受害者的电子邮件,因此,除了发送所有联系人之外,它还可能将你的所有电子邮件(和所有相关聊天)都复制到第三方服务器。而在将来,这种方法可以用于更多的网络钓鱼,因为攻击的一方知道你的电子邮件和产品组合,并且它也可以用于公开转发VIP电子邮件,就像DNC所发生的一样。
目前,Google 已经就此次网路钓鱼的情况发布了一个声明:
我们已经采取行动来保护用户免受模仿Google文档的电子邮件侵害,并且也已经禁用了违规帐户。同时我们也已经通过安全浏览删除了假页面并推送了更新,以防止这种欺骗行为再次发生,最后,我们非常鼓励用户在Gmail中报告网络钓鱼电子邮件。
在将来,我认为我们需要重新设计Google OAuth页面的工作原理。问题在于,你在Google OAuth界面中授予权限的真实实体位于下拉窗口之下。现在的界面仅仅依赖于应用程序开发人员所设计的名称和徽标,这显然是不够的。