使用假谷歌Docs应用程序偷偷摸摸的Gmail网络钓鱼欺骗傻瓜
NetApp和Pure在闪存和云上显示出强烈结果
丑陋的詹金斯友好的新UI
2019年在APAC中的最佳预测
现在Slack搜索可以寻找知识渊博的用户和频道
小组说,软技能显示最大的技术行业技能差距
三星的bixby a.i.服务将会做
澳大利亚抨击Apple告诉客户你正在修复错了'
O2将农村4G网络扩展到339个社区
Twitter首次亮相新兴市场的Lite版本
智能仪表益处旧技术和成本上升
为什么CIO需要找到管理旧的方法和新的方法
IBM刷新与NVME Flash和NVME过度面料的Storwize
Sanbot是所有交易的吉尔
您的车最终将最终将您的驾驶的视频流到云端
Datentre Operators忽略了气候变化的风险导致停机时间,警告正常研究所
Microsoft Winbook是谁?
三星的Bixby人工智能服务将要做的5件事
电子避难所在达塔纳姆举办了Mega-DataceRe校园的规划许可
Gartner预测,SSD和DRAM的价格将在2019年崩溃
Panasas刷新了激活仪Ultra,推入企业
APAC网络安全景观在2019年更加动荡
Microsoft确认它正在修补的大多数NSA的Windows漏洞利用
企业未能赢得消费者信任
Mingis关于Tech:它如何准备机器人并避免大云塔
在最短暂的休息后,Windows 10 Beta测试恢复
从测试英特尔的超级Optane SSDS中学到了什么Aerospike
IBM将AI应用于工厂QA
中兴通讯的第一个Android SmartWatch在这里
Equinix,Digital Realty和NGD燃料英国搭配市场增长与数据传播
谷歌修补了来自fizzled pwn2own黑客的Chrome Bug
公共卫生英格兰为分析构建了Ceph和光泽云
Microsoft到Auther Adviot Affer 5月2日
非接触式支付超越芯片和别针在英国商店
2018年预算:混合袋
戴尔EMC的最新开关将附带其开放式网络操作系统
Apache Struts 2漏洞用于在服务器上安装ransomware
NSA结束了在公民电子邮件中删除的监视策略,文本
Apple听开发人员,在App Store中删除了“免费”模仿
APAC公司热身到SD-WAN来解决网络困境
最佳vmworld 2018欧洲用户奖:候选名单宣布
苹果失去了想象力,将建立自己的GPU
FCC主席计划“扭转净中立的错误”
Power BI添加高级服务;私人仪表板不再免费
当用户转到租用的服务器时,数据中心下降
金融气向如何与大银行合作
遇见果冻,一个廉价和小4G智能手机运行Android Nougat
Microsoft将曲面笔记本电脑添加到其稳定的设备
iCloud黑客比特币赎金看起来像假
新的指导方针指出了一个增强的未来
您的位置:首页 >产品 > 智能硬件 >

使用假谷歌Docs应用程序偷偷摸摸的Gmail网络钓鱼欺骗傻瓜

2021-08-15 20:44:03 [来源]:

Google文档在周二被拉入了偷偷摸摸的电子邮件网络钓鱼攻击,旨在欺骗用户放弃访问他们的Gmail帐户。

网络钓鱼电子邮件在谷歌停止之前分发了大约三个小时,请邀请收件人打开似乎是Google文档的内容。剪刀是一个蓝色的框,说:“在文档中开放。”

实际上,链接导致了一个虚拟应用程序,要求用户获取访问其Gmail帐户的权限。

reddit.

星期二分发的网络钓鱼电子邮件的一个例子。

用户可能很容易被愚弄,因为虚拟应用程序实际上名为“Google文档”。它还要求通过Google的实际登录服务访问Gmail。

黑客能够通过滥用OAuth协议,以谷歌,推特,Facebook和其他服务连接的互联网账户来删除攻击,以与第三方应用联系。

OAuth协议不会传输任何密码信息,而是使用可以打开帐户访问权限的特殊访问令牌。

但是,OAuth在错误的手中可能是危险的。星期二攻击背后的黑客似乎建立了一个第三方应用程序,利用Google进程获得帐户访问。

reddit.

虚拟应用程序将尝试询问帐户许可。

“攻击非常聪明,它利用您将您的Google账户链接到第三方申请的能力,”安全公司趋势科技趋势云研究副总裁Mark Nunnikhoven表示。

利用oauth进行帐户访问尤其狡猾,因为它可以绕过需要窃取某人的登录凭据甚至谷歌的2步验证。

[评论这个故事,请访问Computerworld的Facebook页面。]

上个月,趋势科技称,俄罗斯黑客集团称为花哨的熊是使用类似的电子邮件攻击方法,这些方法将OAuth协议滥用到Phish受害者。

然而,安全专家表示,周二的网络钓鱼攻击可能不是花哨的熊,这是一个阴影小组,许多专家怀疑俄罗斯政府的工作。

“我不相信他们落后于此......因为这是太普遍的,”安全提供商Alienvault的首席科学家Jaime Blasco在一封电子邮件中表示。

周二,Twitter上的许多用户,包括记者,发布网络钓鱼电子邮件的屏幕镜头,提示猜测黑客正在收集受害者的“联系人列表”以实现更多用户。

此次攻击还通过在“[email protected]”的电子邮件地址发送。Mailinator是免费电子邮件服务的提供商,否认了任何参与。

幸运的是,谷歌在Reddit上发布了他们的用户之后,谷歌迅速移动了停止网络钓鱼攻击。

“我们已经删除了假页面,通过安全浏览推动更新,我们的滥用团队正在努力防止这种欺骗再次发生,”谷歌在一份声明中表示。

安全专家和Google建议受影响的用户检查第三方应用程序是否有权访问其帐户并撤消任何可疑访问权限。用户可以通过访问此地址,或执行Google安全检查。

在可疑的电子邮件中小心谨慎,这也是很好的做法。许多黑客尝试,包括恶意软件感染,通过通过电子邮件发送的链接或附件。

安全公司警告,其他黑客可能会滥用oauth的类似网络钓鱼攻击,而不仅仅是通过谷歌,而是用Facebook和LinkedIn进行。

“与所有其他创造性的,新的方法一样,它可能几乎可以立即复制,”思科的Talos Security Group在博客帖子中表示。TALOS已经确定了超过275,000个使用OAuth的应用程序,并连接到云端。

虽然攻击可能是新颖的,但对OAuth的危险几乎没有新的。安全专家在过去警告说,通过操纵OAuth来批准对错误派对的权限来证明用户可以获得。

为了回应此类袭击,谷​​歌上个月表示,它审查了任何OAuth滥用,并取下了违反其用户数据策略的数千个应用程序,包括模拟公司产品的人。

研究公司勘误安全CERCAICE表示,网络钓鱼计划可能会推动谷歌在使用OAuth的应用中采取更严格的立场。

然而,互联网巨头必须在确保安全和培养繁荣的应用生态系统之间取得平衡。

“你做的常备越多,你就越停止创新,”格雷厄姆说。“这是一个权衡。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。