防虚假Docs攻击：Google收紧OAuth认证

5月3日下午，谷歌Docs/Gmail用户遭受了一种新型网络钓鱼的恶意攻击。攻击者通过伪造与谷歌Docs非常相似的应用向Docs/Gmail用户发出账号权限请求，如果用户不慎点击这个插件，Gmail将被恶意读取，且会生成诈骗信息转发给每位用户的邮件列表好友。现在，Google发誓要做进一步的努力以防止这种虚假Docs攻击重蹈覆辙。

除了Google上周发布的新的网络钓鱼警告，他们还将更新其OAuth应用程序的政策和执行。

为了防止再次发生虚假Docs攻击，对Gmail用户造成更多损失，Google表示将强化用于第三方应用与Google帐户关联的OAuth系统。

Google已经提供了一个更详细的解释，说明了上周Google Docs的应用程序是如何攻击用户，然后滥用自己的系统来传播网络钓鱼邮件的。

一旦点击了链接，你就会被重定向到一个页面，页面内容是Google文档(Google Docs)申请获取以下权限：读取、发送和删除邮件；获取联系人。如果你点击了允许，黑客就能立即管理你的Gmail账号，获取你所有的邮件、联系人，并且不需要你的密码。

事实上，受害者们收到的是一个假的Google文档，黑客创建了一个名为“Google Docs”的虚假应用，然后通过上述的Oauth认证获取你的账号信息。而真正的Google文档是不会请求Gmail账号的权限的。

这不是攻击者第一次使用Google的OAuth进行网络钓鱼。据悉这是被俄罗斯智库所雇佣的美国黑客团队“奇幻熊”（Fancy Bear）黑客干的，也是在法国大选中攻击马克龙团队的黑客。正如一位安全专家所指出的，Google可以通过更彻底地检查那些注册使用OAuth机制的开发人员，让他们来阻止它。

安全公司Sophos的首席研究科学家Chet Wisniewski说，虚假的Google Docs网络钓鱼攻击与恶意软件创建者滥用Google Play商店没有什么不同。区别只有用户从Google Play安装的恶意应用程序，收到Google的电子邮件是真实的，授权了Google真正的OAuth界面中的应用程序。

他说：“对任何人开放使用OAuth系统，这种行为一直以来都容易受到这种类型的攻击，而且Google在更好的审查应用程序开发人员上承担了更多的重任。”

正如谷歌曾经解释的，它有几种机制来打击这种类型的网络钓鱼攻击，包括机器检测垃圾邮件，安全浏览系统和病毒扫描附件。

不过，该公司上周五也表示将更新OAuth应用程序的政策和执行。

“我们将采取多种措施来打击这种类型的攻击，包括更新我们在OAuth应用程序中的政策和执行，更新我们的反垃圾邮件系统，帮助减少这样的事件，并增加对可疑第三方应用程序的监控，要求用户提供相关信息，”Google反滥用技术总监Mark Risher写道。

谷歌也警告了G Suite客户不要被网络钓鱼攻击所迷惑。

据Risher称，这次事件不到0.1％的用户受到了影响。换句话说，Google的10亿Gmail用户中有一百万的用户受到了影响。

本文由网安视界（网络空间安全情报站和智库）独家创作整理，转载请注明出处。