นั่นคือสิ่งที่เกิดขึ้นในวันพุธ เมื่อโครงการฟิชชิ่งระเบิดซึ่งใช้ระบบการตรวจสอบสิทธิ์ OAuth ของ Google เพื่อให้สิทธิ์การเข้าถึงแอปพลิเคชันเว็บที่ชั่วร้าย แตกต่างจากแผนการฟิชชิ่งอื่น ๆ ที่ใช้ที่อยู่อินเทอร์เน็ตปลอมเพื่อล่อลวงสิ่งที่ไม่คาดคิด การโจมตีนี้เพียงแสดงคำขออนุญาตของ Google พร้อมชื่อแอปที่ทำให้เข้าใจผิด
วิดีโอแนะนำ
สิ่งสำคัญคือต้องทราบว่า Google ตอบสนองอย่างรวดเร็วและลบแอปที่ละเมิดออกจึงปิดโครงการฟิชชิ่งนี้โดยเฉพาะ อย่างไรก็ตาม ดูเหมือนว่าวิธีการฟิชชิ่งจะไม่ได้รับการแก้ไข นี่คือคำชี้แจงของ Google:
“เราได้ดำเนินการเพื่อปกป้องผู้ใช้จากอีเมลที่แอบอ้างเป็น Google Docs และได้ปิดการใช้งานบัญชีที่ละเมิด เราได้ลบเพจปลอมออก ผลักดันการอัปเดตผ่าน Google Safe Browsing และทีมการละเมิดของเรากำลังดำเนินการป้องกันไม่ให้การปลอมแปลงประเภทนี้เกิดขึ้นอีก เราขอแนะนำให้ผู้ใช้รายงานอีเมลฟิชชิ่งใน Gmail”
ที่ เดิมทีปัญหาถูกเน้นไว้บน Redditโดยที่ Redditor JakeSteam ได้จัดเตรียมการโจมตีแบบทีละขั้นตอน การโจมตีดังกล่าวยังพบเห็นได้ทั่วไปโดยเจ้าหน้าที่ของ Digital Trends และดังนั้นเราจึงยืนยันได้ว่าขั้นตอนเหล่านี้ได้รับการอธิบายอย่างถูกต้อง
กระบวนการนี้ค่อนข้างง่าย ผู้ที่อาจตกเป็นเหยื่อได้รับอีเมลเสนอให้แบ่งปัน Google เอกสาร
เจคสตีม/เรดดิท
การคลิกที่ปุ่ม "เปิดในเอกสาร" จะแสดงหน้าจอการเลือกบัญชี Google ที่ถูกต้อง ซึ่งเมื่อคลิกแล้วจะส่งคืน คำขอตรวจสอบสิทธิ์ของ Google ที่ถูกต้องเท่าเทียมกันเพื่ออนุญาตให้แอปเข้าถึง Gmail และข้อมูลที่อยู่ติดต่อของ Google
เจคสตีม/เรดดิท
การคลิกลิงก์นักพัฒนาซอฟต์แวร์ของ Google เอกสารเท่านั้นที่ทำให้ระดับความสงสัยของผู้ใช้ทั่วไปเพิ่มขึ้น ปัญหาคือหลายคนอาจเชื่อถือข้อเสนอในการแบ่งปันไฟล์ Google Docs ดังนั้นจึงสมเหตุสมผลดีที่ Google Docs อาจเป็นระบบที่ร้องขอการเข้าถึง
หากคุณตกเป็นเหยื่อของแผนการฟิชชิ่งนี้ คุณจะต้องไม่อนุญาตให้แอปนั้นเข้าถึงข้อมูลของคุณ คุณสามารถทำได้โดยการเยี่ยมชม ส่วนแอปและไซต์ที่เชื่อมต่อในหน้าการรักษาความปลอดภัยของ Google และคลิก "จัดการแอป" จากนั้นคลิกที่แอป Google เอกสารในรายการ และกดปุ่ม "ลบ" ตอนนี้อาจเป็นเวลาที่ดีที่จะตรวจสอบแอปที่เชื่อมต่อทั้งหมดของคุณและลบแอปที่ไม่ถูกต้องออก
บทเรียนหลักๆ ที่นี่ก็เหมือนกับบทเรียนที่มีมาเป็นเวลานานแล้ว: หากคุณไม่คาดว่าจะมีไฟล์ที่แชร์ ก็อย่าคลิกสิ่งใดเลยเมื่อมีการเสนอให้ หากคุณไม่แน่ใจว่าไฟล์นั้นมาจากใคร ให้ตรวจสอบผู้ส่งและตรวจสอบให้แน่ใจว่าเป็นบุคคลที่คุณไว้วางใจ
Google มีแนวโน้มที่จะตรวจสอบปัญหานี้และหวังว่าจะสามารถหาวิธีแก้ไขได้ การโจมตีแบบฟิชชิ่งนี้ปิดตัวลงแล้ว แต่ความสามารถในการใช้ระบบการตรวจสอบสิทธิ์ที่ถูกต้องตามกฎหมายของ Google สำหรับการโจมตีนั้นน่ากังวล
คำแนะนำของบรรณาธิการ
- เหตุใด Google จึงตัดการเข้าถึงเว็บสำหรับพนักงานบางคน
- Google เพิ่งทำให้เครื่องมือรักษาความปลอดภัย Gmail ที่สำคัญนี้ใช้งานได้ฟรีโดยสมบูรณ์
- ส่วนขยายของ Google Chrome ครึ่งหนึ่งอาจรวบรวมข้อมูลส่วนตัวของคุณ
- อีเมลฟิชชิ่งเกี่ยวกับโควิด-19 ใหม่อาจขโมยความลับทางธุรกิจของคุณ
- เครื่องมือแฮ็กเกอร์ตัวใหม่ที่เป็นอันตรายนี้ทำให้ฟิชชิ่งเป็นเรื่องง่ายอย่างน่ากังวล
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
