זה בדיוק מה שקרה ביום רביעי, כשתוכנית דיוג התפוצצה שהשתמשה במערכת האימות OAuth של גוגל כדי להעניק גישה לאפליקציית אינטרנט מרושעת. שלא כמו תוכניות דיוג אחרות המשתמשות בכתובת אינטרנט מזויפת כדי לפתות את הבלתי צפויים, ההתקפה הזו פשוט הצצה בקשת הרשאה של Google עם כותרת אפליקציה מטעה.
סרטונים מומלצים
חשוב לציין זאת גוגל הגיבה במהירות והסירה את האפליקציה הפוגעת, ובכך לכבות את ערכת הדיוג הספציפית הזו. עם זאת, נראה ששיטת הדיוג עצמה לא תוקנה. הנה ההצהרה של גוגל:
"נקטנו פעולה כדי להגן על המשתמשים מפני אימייל המתחזה ל-Google Docs והשבתנו חשבונות פוגעניים. הסרנו את הדפים המזויפים, דחפנו עדכונים דרך הגלישה הבטוחה, וצוות ההתעללות שלנו פועל למנוע זיוף מהסוג הזה להתרחש שוב. אנו מעודדים משתמשים לדווח על הודעות דיוג ב-Gmail."
ה הנושא הודגש במקור ב- Reddit, שם Redditor JakeSteam סיפק שחזור שלב אחר שלב של המתקפה. המתקפה נראתה בטבע גם על ידי הצוות של Digital Trends עצמו, ולכן אנו יכולים לאשר שהצעדים הללו מתוארים במדויק.
התהליך היה פשוט יחסית. קורבן פוטנציאלי קיבל הודעת אימייל שהציעה לשתף מסמך Google Doc.
JakeSteam/Reddit
לחיצה על כפתור "פתח במסמכים" הקפיץ מסך בחירת חשבון Google לגיטימי, שכאשר הלחיצה עליו החזיר בקשת אימות לגיטימית באותה מידה של Google כדי לאפשר לאפליקציה לגשת לפרטי אנשי הקשר ב-Gmail ו-Google של המשתמש.
JakeSteam/Reddit
רק על ידי לחיצה על הקישור למפתחים של Google Docs עשויה להעלות את רמת החשד של המשתמש הטיפוסי. הבעיה כאן היא שאנשים רבים עשויים לסמוך על הצעה לשתף קובץ Google Docs ואז זה יהיה הגיוני לחלוטין ש-Google Docs עשויה להיות המערכת שמבקשת גישה.
אם כבר נפלתם טרף לתכנית הדיוג הזו, תרצו לא לאפשר לאפליקציה זו לגשת לנתונים שלכם. אתה יכול לעשות זאת על ידי ביקור הקטע אפליקציות ואתרים מחוברים בדף האבטחה של Google ולחיצה על "נהל אפליקציות". לאחר מכן לחץ על אפליקציית Google Docs ברשימה, ולחץ על כפתור "הסר". זה אולי זמן טוב לסקור את כל האפליקציות המחוברות שלך ולהסיר את כל האפליקציות שאינן לגיטימיות.
השיעור העיקרי כאן זהה לזה שהיה כבר הרבה זמן: אם אינך מצפה לקובץ משותף, אל תלחץ על שום דבר כאשר הוא מוצע. אם אינך בטוח ממי הקובץ, בדוק את השולח וודא שזה מישהו שאתה סומך עליו.
סביר להניח שגוגל תבדוק את הבעיה הזו ובתקווה למצוא דרך לפתור אותה. מתקפת הדיוג הספציפית הזו נסגרה, אבל היכולת להשתמש במערכת האימות הלגיטימית של גוגל להתקפות מדאיגה.
המלצות עורכים
- מדוע גוגל מקצצת את הגישה לאינטרנט עבור חלק מהעובדים שלה?
- גוגל פשוט הפכה את כלי האבטחה החיוני הזה של Gmail בחינם לחלוטין
- ייתכן שמחצית מהתוספים של Google Chrome אוספים את הנתונים האישיים שלך
- הודעות דוא"ל חדשות של התחזות על ידי COVID-19 עלולות לגנוב את סודות העסק שלך
- כלי ההאקרים החדש והמסוכן הזה הופך את ההתחזות לקל בצורה מדאיגה
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.