导语:上周,谷歌的在线办公套件Docs遭受了一起大规模钓鱼攻击。据悉,攻击者通过邀请用户共享一个 Google Docs,将用户定向到一个模仿 Google Docs 的钓鱼网站。
背景回顾
上周,谷歌的在线办公套件Docs遭受了一起大规模钓鱼攻击。据悉,攻击者通过邀请用户共享一个 Google Docs,将用户定向到一个模仿 Google Docs 的钓鱼网站,并提示用户授权其访问 Google 账号的权限,如果用户同意了,那么攻击者将能访问到 Google 账号的联络人,并向这些联络人发送同样的钓鱼邮件来实现连环传播。
攻击一开始针对的是记者,但很快广泛扩散开来。攻击通过滥用 OAuth 认证接口,向用户展示真实的 Google 对话框去请求认证。后来,Google迅速采取行动打击了这次钓鱼攻击,所有与钓鱼攻击相关联的域名已经全部下线,用户不小心授予的访问权限也已经从账号上移除。
其实这不是谷歌用户第一次成为钓鱼攻击的目标。2014年,类似的骗局还曾瞄准谷歌Docs和Drive用户。为了有效地防御此类网络钓鱼事件再次发生,谷歌正计划强化其OAuth规则。
关于OAuth
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。
Google强化OAuth规则打击网络钓鱼
网络钓鱼攻击一直以来都是攻击者最喜欢的手段,它通过模仿一个受信任的来源来诱骗收件人打开恶意附件或点击可疑链接。据悉,谷歌的电子邮件服务每天能够阻止数百万个网络钓鱼电子邮件,但是上周的Docs钓鱼事件证明,其系统并非无懈可击。
目前,据该公司透露,他们正在强化其OAuth规则和执行策略,以防止网络钓鱼事件再次发生。此外,他们还对谷歌的反垃圾邮件系统进行了更新,帮助防止类似的攻击活动,并扩大了对可疑的第三方应用程序的监控,对那些需要请求用户信息的应用程序增加了一层额外的安全防护。
谷歌发言人表示,
我们致力于保护用户的谷歌账户安全,并采取各种防御措施来防范各种类型的复杂攻击,包括检测异常行为的反劫持系统,以及阻止恶意内容的机器学习模型等。
需要指出的是,OAuth协议设计的本意是为用户带来便利,但安全专家早已发出警告,该协议容易被不法分子所利用。
事实上,这一名为“Pawn Storm(又名Fancy Bear或APT28)”的网络间谍组织过去也曾使用过非常类似的技术。今年年初,FireEye公司发布了最新的威胁情报报告《APT28: At The Center for The Storm(APT28:位于风暴中心)》,报告指出该组织通过构建的谷歌App身份认证和Oauth访问来获取身份凭证,可让APT28绕过双重身份认证和其他安全策略。
趋势科技最近也透露称,该组织的网络钓鱼活动中利用OAuth协议,并冒充谷歌应用诱骗用户落入陷阱。据悉,其攻击的第一步就是假冒谷歌公司的身份发送虚假邮件,邮件主题是“你的账户存在安全风险”。该电子邮件声称谷歌检测到他们的帐户出现了几次异常登录,建议用户安装一个叫作“Google Defender”的安全应用程序。
但实际上,这个程序就是个一个陷阱,可以帮助该黑客组织窃取受害者谷歌帐户的特殊访问令牌。受害者将被重定向至一个真实的Google页面,在不知情的情况下把查看和管理其电子邮件的权限交给了冒牌的“Google Defener”。也就是说点击了“允许”的用户把他们的OAuth令牌移交给了背后的黑客。
趋势科技在其报告中表示:
目前很多用户都能够辨识常见的钓鱼邮件,但对于这种利用OAuth的钓鱼手段往往都是猝不及防。即使接受过专业信息安全培训的人也有可能上当。
根据谷歌所说,只有不到0.1%的Gmail用户受到上周“Google文档”事件的影响,但是,正如Talos公司的Sean Baird和Nick Biasini所言,这一概念证明(POC)揭示,通过OAuth实施一场令人信服的谷歌网络钓鱼是完全有可能的。
为了进一步保护用户免受此类攻击威胁,谷歌还为Android用户发布了针对Gmail的反网络钓鱼安全检查。如此一来,当用户点击收到的电子邮件中的可疑链接时系统就会发出警告,可以防止用户泄漏财务和个人隐私信息等。