Et phishing-svindel som dukket opp tidligere denne uken brukt Google Docs i et angrep mot minst 1 million Gmail-brukere.
Men, som utgjør færre enn 0,1 prosent av Gmail-brukere ble berørt, ifølge selskapet.
Google sist år sette antall aktive månedlige Gmail-brukere på mer enn 1 milliard kroner.
Google stenge ned phishing-svindel i løpet av en time, er det sagt, gjennom både automatiske og manuelle handlinger. Det fjernet den falske nettsider og programmer, og dyttet den oppdateringer via Sikker Surfing, Gmail og andre anti-misbruk systemer.
Brukere som ikke trenger å gjøre noe på egen hånd i respons til angrep, Google sa, men de som ønsket å skrive en anmeldelse tredje-parti apps koblet til deres konto, kan gjøre det på sin
Sikkerhet Checkup nettstedet.
Anti-Phishing Sikkerhetskontroller
Tilfeldigvis, Google denne uken ble det introdusert et nytt anti-phishing-sikkerhet funksjonen til Gmail på Android. Det nye verktøyet gir en advarsel når en bruker klikker på en mistenkelig kobling i en e-postmelding, som varsler dem om at nettstedet de prøver å gå har blitt identifisert som en forfalskning. Brukere kan sikkerhetskopiere bort eller fortsette til nettstedet på egen risiko.
Google er gradvis å rulle ut den nye funksjonen til alle G Suite brukere.
Hvordan Dokumenter Angrep Gikk Ned
Denne uken er Dokumenter angrepet var en effektiv tilnærming for å lokke brukere før Google klemt ned.
Folk fikk en e-post fra noen de kjente som inviterer dem til å klikke på en link for å samarbeide om et Google-Dokument.
Ved å klikke på “Åpne Dokumenter” – lenken omdirigert dem til en Google-OAuth 2.0 side for å autorisere Google Dokumenter-programmet, som var en falsk.
Programmet uttalte at Google Docs har lyst til å lese, sende, slette og administrere mottakerens e-post og administrere sine kontakter — forespørsler som er felles for flere programmer som bruker Google som en autentiseringsmekanisme.
Når tillatelse ble gitt, angriperen fått tilgang til offerets address book, som tillot angrepet for å gå viral raskt.
Den OAuth Sårbarhet
Angrepet lånefinansiert OAuth, “en utbredt standard i bransjen-protokollen [gir] en sikker vei for Web-applikasjoner og tjenester for å koble til uten at brukerne til å dele sin konto legitimasjon med disse programmene,” sa Ayse Firat, direktør for analyse og innsikt på kunden
Cisco Cloudlock.
“Fordi det er så universelt som er vedtatt av nesten alle Web-baserte applikasjoner og plattformer, inkludert forbruker så vel som enterprise applikasjoner, for eksempel Google Apps, Office 365, Salesforce, LinkedIn og mange andre-det gir et bredt angrep overflate,” fortalte hun TechNewsWorld.
OAuth 2.0 er svært sensitive for phishing fordi hver eneste nettstedet med den ber sluttbrukere for brukernavn og passord av sin mester identitet. Cisco CLoudlock har identifisert mer enn 275,000 OAuth-apps som er koblet til kjernen cloud-tjenester, for eksempel Office 365, sammenlignet med bare 5,500 for tre år siden.
OAuth-baserte angrep “bypass alle standard sikkerhets-lag, inkludert neste generasjons brannmurer, sikker Web-gatewayer, single sign-on, multifaktor autentisering og mer,” Firat advarte.
Konsekvenser av å Bruke Email
Med programvare leverandører i stadig større grad å sette sine applikasjoner i nettskyen, hvor stor en risiko gjøre OAuth er sårbarheter posere for sluttbrukere?
“De fleste cloud-tjenester er ganske sikkert, og OAuth-baserte angrep sannsynlig ikke vil bli vellykket hvis tjenester avhengig av protokollen er sikret på annen måte,” sa Michael Jude, program manager i Stratecast/Frost & Sullivan.
OAuth-godkjenning “er større enn bare online programmer,” foreslo han. “Det er også en grunnleggende etablering protokoll som kan bli viktig i sosiale medier innsats for å bli mer beslektet med felles transport operasjoner for kommunikasjon.”
Email “må gjøres riktig, eller det er ingen fremtid for sosiale medier-mediert kommunikasjon-tjenester,” Jude advart.
Beskytter Mot OAuth-Baserte Angrep
Organisasjoner som trenger å utvikle en høy-nivå strategi samt et bestemt program å bruke politikken til å bestemme hvordan de vil tillate eller forby programmer, og deler denne visjonen med sine sluttbrukere, Firat foreslått.
Enkelte brukere bør gå inn på sin Google-konto sikkerhetsinnstillinger og tilbakekalle tillatelser bare til programmer de ikke kjenner eller stoler på, hun anbefalte. De har også “bør aldri gi tillatelser bare til programmer som ber om overdreven tilgang.”
Arbeidet har vært lansert for å innlemme strengere krav til sikkerhet i OAuth, Frost Judas sa, “men jeg har ikke hørt om noen spesielle tilgjengelighet.”
Richard Adhikari har vært en ECT Nyheter Network reporter siden 2008. Hans fokusområder inkluderer cybersecurity, mobil teknologi, CRM, databaser, utvikling av programvare, stormaskin og mid-range computing og app-utvikling. Han har skrevet og redigert for en rekke publikasjoner, inkludert Informasjon Uken, og Computerworld. Han er forfatter av to bøker på klient/server-teknologi.
E-Richard.