Por que o golpe do Google Docs era um tipo diferente de phishing

É um esquema de phishing que a autenticação multifatorial e a alteração da senha não corrigem.

Na quarta-feira, um enorme ataque de phishing do Google Docs se espalhou pelo Gmail, seqüestrando contas de pessoas e enviando spam para as listas de contatos das vítimas. O Google rapidamente desativou o ataque, que afetou cerca de 0, 1% dos usuários do Gmail.

Mesmo com esse número baixo, com cerca de 1 bilhão de usuários do Gmail, ainda há pelo menos 1 milhão de pessoas comprometidas. E a detecção típica de phishing que o Gmail oferece não conseguiu bloqueá-lo porque o ataque nem precisou de vítimas para digitar suas senhas.

O esquema de phishing dependia da exploração OAuth, um esquema raro que se expôs ao mundo na quarta-feira. OAuth, que significa Open Authorization, permite que aplicativos e serviços "conversem" entre si sem fazer login em suas contas. Pense em como o Amazon Alexa pode ler seus eventos do Google Agenda ou como seus amigos do Facebook podem ver a música que você está ouvindo no Spotify. Nos últimos três anos, os aplicativos que usam o OAuth saltaram de 5.500 para 276.000, de acordo com o Cisco Cloudlock.

"Agora que essa técnica é amplamente conhecida, é provável que represente um problema significativo - há tantos serviços on-line que usam o OAuth e é difícil para eles examinar completamente todos os aplicativos de terceiros", disse Greg Martin, CEO da empresa de segurança cibernética Jask, em um email.

Como o Google Docs foi explorado de forma diferente dos ataques típicos de phishing?

Um típico ataque de phishing preenche um site destinado a induzi-lo a digitar sua senha, enviando informações confidenciais para o ladrão ou registrando-o em um banco de dados.

Com as explorações do OAuth, como no caso do golpe do Google Docs, as contas podem ser invadidas sem que o usuário digite nada. No esquema do Google Docs, o atacante criou uma versão falsa do Google Docs e solicitou permissão para ler, escrever e acessar os e-mails da vítima.

Ao conceder a permissão de exploração do OAuth, você concedeu aos criminosos acesso à sua conta sem precisar de senha.

Por que não posso simplesmente mudar minha senha?

OAuth não funciona por meio de senhas, funciona por meio de tokens de permissão. Se uma senha for uma chave que trava as portas da sua conta, o OAuth é um porteiro que tem as chaves e quem é enganado para deixar outras pessoas entrarem.

Você precisaria revogar as permissões para expulsar os intrusos.

Por que a autenticação multifatorial não impede as explorações do OAuth?

As autenticações multifator funcionam solicitando que você insira um código de segurança ao tentar efetuar login por meio de uma senha.

Novamente, nessa exploração, as senhas não são o ponto de entrada. Então, quando os hackers usam exploits do OAuth, eles não precisam digitar uma senha - a vítima já fez a permissão.

"As aplicações em si não são obrigadas a ter um segundo fator, uma vez que o usuário tenha concedido permissões", segundo a pesquisa da Cisco.

Então, o que devo fazer se me apaixonar por algo como o esquema de phishing do Gmail?

Felizmente, a correção é mais fácil de lidar do que se você se apaixonar por uma exploração de phishing padrão. No caso do Google, você pode revogar as permissões indo até //myaccount.google.com/permissions. Se o aplicativo falso for desativado, como o Google fez com a fraude do Google Docs, a permissão também será automaticamente revogada.

Para outros serviços que usam o OAuth, pode não ser tão simples. A maioria dos serviços que dependem do OAuth terá uma página na qual você poderá gerenciar suas permissões, como a página Aplicativos do Twitter. Nos dispositivos Android 6.0, você pode revogar permissões no Gerenciador de aplicativos nas suas configurações.

Infelizmente, existem centenas de milhares de aplicativos que usam o OAuth e não têm tempo suficiente para que a maioria das pessoas encontre todas as páginas de permissões para eles.

CNET Magazine: Confira uma amostra das histórias que você encontrará na edição da banca da CNET.

É complicado: isso é namoro na era dos aplicativos. Se divertindo ainda? Essas histórias chegam ao cerne da questão.

Publicações Populares

Verificar a aparência móvel de um site da Web

O OneNote para iPad é agora utilizável?

Use o Ampere para garantir que o seu dispositivo Android esteja carregando corretamente

Como desentupir sua cabeça de chuveiro sem esfregar

Essa coisa de borracha na bracelete da sua Canon dSLR? Tem um propósito

Pare de discagem de bolso no seu iPhone

 

Deixe O Seu Comentário