Google Docs è stato preso di mira in un attacco di phishing email nella giornata di martedì che è stato progettato per ingannare gli utenti a rinunciare all’accesso ai loro account Gmail.
Le email di phishing, che hanno circolato per circa tre ore prima che Google le fermasse, invitavano il destinatario ad aprire quello che sembrava un documento di Google. Il teaser era una scatola blu che diceva Apri in Documenti.
In realtà, il link ha portato ad un’applicazione fittizia che ha chiesto agli utenti l’autorizzazione per accedere al proprio account Gmail.
Gli hacker sono stati in grado di eliminare l’attacco abusando del protocollo OAuth, un modo per conti di accesso a Google, Twitter, Facebook e altri servizi per connettersi a applicazioni di terze parti.
Il protocollo OAuth non trasferisce alcuna informazione di password, ma utilizza invece speciali gettoni di accesso che consentono l’accesso dell’account.
Tuttavia, OAuth può essere pericoloso nelle mani sbagliate. Gli hacker dietro l’attacco di martedì sembrano aver costruito un’applicazione di terze parti effettiva che ha sfruttato i processi di Google per ottenere l’accesso all’account.
L’applicazione dummy cercherà di chiedere l’autorizzazione al conto. «L’attacco è abbastanza intelligente e sfrutta la possibilità di collegare il tuo account Google a un’applicazione di terze parti», ha dichiarato Mark Nunnikhoven, vicepresidente della ricerca cloud presso la società di sicurezza Trend Micro.
Sfruttare OAuth per l’accesso al conto è particolarmente deviante perché può ignorare la necessità di rubare le credenziali di accesso di qualcuno o anche la verifica a due passaggi di Google.
Il mese scorso, Trend Micro ha dichiarato che un gruppo di hacking russo noto come Fancy Bear stava usando un metodo simile di attacco email che abusava il protocollo OAuth alle vittime di phish.
Tuttavia, gli esperti di sicurezza hanno affermato che l’attacco di phishing di martedì probabilmente non proveniva da Fancy Bear, un gruppo ombroso che molti esperti sospettano di funzionare per il governo russo.
Fortunatamente, Google si è mosso rapidamente per arrestare gli attacchi di phishing, dopo che un utente su Reddit ha pubblicato su di loro».
«Abbiamo rimosso le pagine false, abbiamo spinto gli aggiornamenti tramite il Browsing Sicuro e il nostro team di abusi sta lavorando per impedire che questo tipo di spoofing accada di nuovo», ha dichiarato Google in una dichiarazione.
Gli esperti di sicurezza e Google consigliano agli utenti interessati di controllare quali applicazioni di terze parti hanno il permesso di accedere al proprio account e revocare qualsiasi accesso sospetto. Gli utenti possono farlo visitando questo indirizzo o eseguendo un controllo di sicurezza di Google.
È anche una buona pratica fare attenzione nei messaggi di posta elettronica sospettosa. Molti tentativi di hacker, incluse le infezioni da malware, arrivano tramite link o allegati inviati tramite posta elettronica.
