Prav to se je zgodilo v sredo, ko je eksplodirala shema lažnega predstavljanja, ki je uporabljala Googlov sistem za preverjanje pristnosti OAuth za odobritev dostopa do nečedne spletne aplikacije. V nasprotju z drugimi shemami lažnega predstavljanja, ki uporabljajo lažni internetni naslov, da bi privabili nepričakovane, je ta napad le prikazal Googlovo zahtevo za avtorizacijo z zavajajočim naslovom aplikacije.
Priporočeni videoposnetki
Pomembno je omeniti, da Google se je hitro odzval in odstranil žaljivo aplikacijo, s čimer se izklopi ta posebna shema lažnega predstavljanja. Vendar se zdi, da sama metoda lažnega predstavljanja ni bila popravljena. Tukaj je Googlova izjava:
»Sprejeli smo ukrepe za zaščito uporabnikov pred e-pošto, ki se predstavlja kot Google Dokumenti, in onemogočili kršitvene račune. Odstranili smo lažne strani, posodobitve potisnili prek varnega brskanja in naša skupina za preprečevanje zlorab si prizadeva preprečiti, da bi se tovrstno ponarejanje ponovilo. Uporabnike spodbujamo, da prijavijo e-poštna sporočila z lažnim predstavljanjem v Gmailu.«
The Težava je bila prvotno izpostavljena na Redditu, kjer je Redditor JakeSteam poskrbel za poustvarjanje napada po korakih. Napad je v naravi opazilo tudi lastno osebje Digital Trends, zato lahko potrdimo, da so ti koraki natančno opisani.
Postopek je bil relativno preprost. Potencialna žrtev je prejela e-poštno sporočilo s ponudbo za skupno rabo Google dokumenta.
JakeSteam/Reddit
S klikom na gumb »Odpri v dokumentih« se prikaže zaslon za izbiro zakonitega računa Google, ki ob kliku vrne enako legitimna Googlova zahteva za preverjanje pristnosti, ki aplikaciji omogoči dostop do uporabnikovih podatkov o Gmailu in Googlovih stikih.
JakeSteam/Reddit
Šele s klikom na povezavo za razvijalce Google Dokumentov se lahko poveča sum tipičnega uporabnika. Težava tukaj je v tem, da lahko veliko ljudi zaupa ponudbi za skupno rabo datoteke Google Dokumentov in potem bi bilo povsem logično, da so Google Dokumenti sistem, ki zahteva dostop.
Če ste že postali žrtev te sheme lažnega predstavljanja, tej aplikaciji onemogočite dostop do vaših podatkov. To lahko storite z obiskom razdelek Povezane aplikacije in spletna mesta na Googlovi varnostni strani in kliknite »Upravljanje aplikacij«. Nato na seznamu kliknite aplikacijo Google Dokumenti in pritisnite gumb »Odstrani«. Zdaj je morda pravi čas, da pregledate vse svoje povezane aplikacije in odstranite tiste, ki niso zakonite.
Glavna lekcija tukaj je enaka kot že dolgo: če ne pričakujete datoteke v skupni rabi, potem ne kliknite ničesar, ko je ponujena. Če niste prepričani, od koga je datoteka, poglejte pošiljatelja in se prepričajte, da je to nekdo, ki mu zaupate.
Google bo verjetno preučil to težavo in upajmo, da bo našel način za njeno rešitev. Ta poseben napad z lažnim predstavljanjem je bil ustavljen, vendar je možnost uporabe Googlovega zakonitega sistema za preverjanje pristnosti za napade zaskrbljujoča.
Priporočila urednikov
- Zakaj Google nekaterim svojim delavcem onemogoča dostop do spleta?
- Google je pravkar naredil to bistveno varnostno orodje za Gmail popolnoma brezplačno
- Polovica razširitev za Google Chrome morda zbira vaše osebne podatke
- Nova lažna e-poštna sporočila o COVID-19 lahko ukradejo vaše poslovne skrivnosti
- To nevarno novo hekersko orodje naredi lažno predstavljanje zaskrbljujoče enostavno
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
