Нещодавно ми інформували про фішингову атаку, що використовувала Punycode. Ще раніше ми обговорювали шахрайські VPN-сервіси, які видавали себе за партнерів відомих легітимних компаній. Сьогоднішня схема фішингу замаскована під файл Google Docs. Суть атаки полягає в наступному: ви отримуєте запрошення до файлу Google Docs, і якщо ви його приймаєте та надаєте необхідні дозволи, ви несвідомо відкриваєте доступ до своєї електронної пошти зловмисникам. Усі елементи, від електронного листа із запрошенням до Google Docs до сторінки вибору облікового запису, виглядають справжніми, до моменту, коли вас просять надати “документу” доступ до ваших листів. Радісною новиною є те, що співробітник Google оперативно виявив цю атаку на Reddit та заблокував її. Деталі нижче.
Фішингова пастка з використанням Google Docs
Користувач Reddit під ніком JakeSteam розповів у спільноті r/Google про те, як він ледь не потрапив на гачок нової афери з Google Docs. Електронний лист був автентичним, сторінка вибору облікового запису теж, а відправник виглядав знайомо. Його насторожило прохання надати додаткові дозволи.
Цей дозвіл дозволив би “Google Docs” отримати доступ до його облікового запису (зображення: користувач Reddit JakeSteam). Джейк натиснув на “Google Docs”, але виявилось, що це була не справжня програма “Google Docs”, а щось, опубліковане з Gmail акаунту, якого він не впізнавав.
Хто під загрозою?
“Google Docs” в цьому випадку фактично є сторонньою програмою, що вимагає доступ до вашої електронної пошти. Ця інформація потім передається невідомій особі. Маючи доступ до вашої пошти, ця особа може скинути паролі до будь-якого вашого акаунту, включно з онлайн-банкінгом, Dropbox, Facebook, Twitter та іншими.
Схема виглядає переконливо, оскільки називає себе “Google Docs”. Джейк отримав електронний лист із пропозицією відкрити доступ до файлу Google Docs. Неуважний користувач може подумати, що це звичайний запит від Google Docs на додаткові дозволи. Користувачі зазвичай не надто звертають увагу на те, які дозволи просить довірений додаток. Це нагадує аферу з фальшивим VPN, який видавав себе за партнера Plex.
Тут ситуація інша: програма не видає себе за партнера, а прямо імітує надійний додаток.
Реакція Google
Джейк опублікував інформацію на Reddit, де її швидко помітив співробітник Google, який вжив необхідних заходів. Проблема була усунена протягом кількох годин. Сподіваємося, що рішення буде постійним, а не лише тимчасовим, адже можуть виникнути інші схожі шахрайства.
Афера стала можливою через те, що Google дозволяє користувачам називати програми Google Docs, навіть якщо це приватна назва. Сподіваємося, що вони вже зупинили це або зроблять це найближчим часом. Будьте пильні.
Оновлення: Офіційний Twitter-акаунт Google Docs опублікував ряд повідомлень, підтверджуючи аферу та її вирішення.
Ми вирішили проблему з фішинговим листом, який стверджує, що є Google Docs. Якщо ви вважаєте, що постраждали, відвідайте https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Документи Google (@googledocs) 3 травня 2017 року
Що робити, якщо ви постраждали
Можливо, ви вже стали жертвою цієї схеми. У цьому випадку, користувач Reddit JakeSteam має кілька порад:
Перейдіть за цим посиланням і скасуйте доступ до програм, що мають назву “Google Docs”. Справжні Google Docs не потребують додаткових дозволів для роботи.
Перевірте, чи ваш обліковий запис не надсилає спам, та зв’яжіться з усіма, хто отримав від вас спам. Повідомте їм про ситуацію.
Якщо ви знаєте людину, яка відправила запрошення до Google Docs, зв’яжіться з нею і попередьте, що її обліковий запис зламано.
Якщо ви є адміністратором облікових записів Google Business, переконайтеся, що жоден з облікових записів не надав дозвіл на програму під назвою “Google Docs” або не має до неї доступу.