Комментарии 16
Мало?
Ну и технические аккаунты часто создают.
Так что я не удивлен в миллиарде пользователей Gmail — у кого-то там просто пустой аккаунт (почта создалась одновременно c Google-аккаунтом), у кого-то этих аккаунтов — кипа (пара личных, корпоративный и т.д.), кто-то использует сервис «почта для домена» и так далее.
Год назад заявили 1 млрд активных пользователей Gmail, два года назад было 900 млн:
https://techcrunch.com/2016/02/01/gmail-now-has-more-than-1b-monthly-active-users/ Gmail Now Has More Than 1B Monthly Active Users — Posted Feb 1, 2016
https://techcrunch.com/2015/05/28/gmail-now-has-900m-active-users-75-on-mobile/ Gmail Now Has 900M Active Users, 75% On Mobile — Posted May 28, 2015
Чуть подробностей, т.к. корпоративный gmail нашей компании был также затронут.
Итак, что происходит:
Ничего не подозревающий пользователь получает письмо от знакомого такого вида:
С такими заголовками:
Received: from 946634442539 named unknown by gmailapi.google.com with HTTPREST; Wed, 3 May 2017 11:54:31 -0700
…
X-Original-Sender: <тут gmail-почта отправителя>
X-Original-Authentication-Results: mx.google.com;
dkim=pass header.i=@xxx;
spf=pass (google.com: domain of xxx designates yyy as permitted sender) smtp.mailfrom=xxx;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=xxx
То есть письмо выглядит отправленным через gmail api оригинальным отправителем (человеком, с которым жертва вела переписку).
В компаниях, использующих корпоративный gmail и google docs подобные емейлы — обычное ежедневное дело и никаких подозрений не вызывают (ну, разве что hhhhh@mailinator.org в поле To наводит на подозрения).
При клике на ссылку человек попадает на стандартный гугловый запрос доступа к почте внешним приложением, названным Google Docs (скриншота не сохранилось, к сожалению), и многие кликают на Allow автоматически.
После этого приложение вытягивает список контактов и от имени пользователя производит по ним рассылку. Все, цикл замкнулся.
Добавлю, что пока никаких признаков вредоносности (выгрузка почты, трояны и т.д.) не замечено — выглядит как proof of concept атаки, вышедший из-под контроля. Но IT security вчера бегали как наскипидаренные, шутка ли — потенциальная возможность утечки почты работников, включая менеджмент, плюс если бы в разрешениях был google drive — еще и потенциальная возможность утечки всей корпоративной документации.
Если первое, то интересно, какие приложения можно хостить в Docs,
Если второе, то вряд ли оно «вышло из-под контроля».
Для того, чтобы приложение получило доступ к определенным данным пользователя, оно должно показать пользователю гуглостраничку такого типа, где пользователь нажмет «разрешить».
Проблема в том, что пользователи к этой страничке привыкли за годы логина на разные сайты через гугл и сразу нажимают Accept, а списочек разрешений маленькими черными буквами никто не читает, особенно если вверху написано «Google Docs would like you to» (где Google Docs — произвольная строка, обозначающая приложение, к гуглу отношения не имеющая).
Я давно считаю, что все более-менее подозрительные или потенциально опасные разрешения должны быть написаны большими красными буквами, чтобы выделять из серии однотипных логин-реквестов, но у гугла свое видение пользовательской безопасности.
Судя по статье arstechnica, ведет на страницу Google для OAuth авторизации , которая предоставит доступ к данным аккаунта стороннему приложению, названному "Google Docs"
https://arstechnica.com/security/2017/05/dont-trust-oauth-why-the-google-docs-worm-was-so-convincing/
"Don’t trust OAuth: Why the “Google Docs” worm was so convincing" — RON AMADEO — MAY 3, 2017
When you click on it, you get a real Google login page from Google's servers.
Then you get a real OAuth permissions page, also from Google's servers.
The fake thing here is the app. It's a third-party app named "Google Docs" with the Google Docs icon as its profile picture. It wants full control over your e-mail.
Real, verifiable info is only shown when you click on the drop down. Who is "eugene.pupov@gmail.com"? He's not Google!
https://cdn.arstechnica.net/wp-content/uploads/2017/05/google-phish-4-980x734.png
https://cdn.arstechnica.net/wp-content/uploads/2017/05/53.png
Масштабная фишинг-атака затронула около 1 млн пользователей Gmail