Waarom de zwendel van Google Docs een ander soort phishing was

Het is een phishing-schema dat zelfs multifactor-authenticatie en het wijzigen van uw wachtwoord niet kan oplossen.

Woensdag verspreidde zich een enorme phishing-aanval van Google Documenten in Gmail, waarbij de accounts van mensen werden gekaapt en zichzelf werd spamt naar de contactlijsten van de slachtoffers. Google sloot de aanval snel af, wat ongeveer 0, 1 procent van de Gmail-gebruikers aantastte.

Zelfs bij dat lage aantal, met ongeveer 1 miljard Gmail-gebruikers, raken er nog steeds minstens 1 miljoen mensen in de problemen. En de typische phishing-detectie die Gmail biedt, kon het niet blokkeren omdat de aanval zelfs geen slachtoffers nodig had om hun wachtwoorden in te typen.

De phishing-zwendel was gebaseerd op OAuth-uitbuiting, een zeldzaam programma dat zich woensdag aan de wereld heeft blootgesteld. OAuth, wat staat voor Open Authorization, laat apps en services met elkaar 'praten' zonder in te loggen op uw accounts. Bedenk eens hoe uw Amazon Alexa uw Google Agenda-evenementen kan lezen of hoe uw Facebook-vrienden kunnen zien naar welk nummer u luistert in Spotify. In de afgelopen drie jaar zijn apps die gebruikmaken van OAuth gestegen van 5.500 naar 276.000, volgens Cisco Cloudlock.

"Nu deze techniek algemeen bekend is, zal dit waarschijnlijk een groot probleem vormen - er zijn zoveel online diensten die OAuth gebruiken en het is moeilijk voor hen om alle toepassingen van derden die er zijn te inspecteren, " zei Greg Martin, CEO van cyberbeveiligingsbedrijf Jask, in een e-mail.

Hoe was de exploitatie van Google Docs anders dan bij typische phishing-aanvallen?

Een typische phishing-aanval bevat een website die bedoeld is om u te misleiden door uw wachtwoord te typen, gevoelige informatie naar de dief te sturen of deze in een database te loggen.

Met OAuth-exploits, zoals in het geval van scam op Google Docs, kunnen accounts worden gehackt zonder dat de gebruiker iets typt. In het Google Documenten-schema heeft de aanvaller een nepversie van Google Documenten gemaakt en toestemming gevraagd voor het lezen, schrijven en openen van de e-mails van het slachtoffer.

Door de toestemming voor OAuth-exploits te verlenen, hebt u de bad guys effectief toegang tot uw account gegeven zonder dat u een wachtwoord nodig hebt.

Waarom kan ik niet gewoon mijn wachtwoord wijzigen?

OAuth werkt niet via wachtwoorden, het werkt via tokens voor rechten. Als een wachtwoord een sleutel is om de deuren van uw account te vergrendelen, is OAuth een portier die de sleutels heeft en die erin wordt geluisd om andere mensen binnen te laten.

Je zou de machtigingen moeten intrekken om de indringers uit te schakelen.

Waarom stopt multi-factor authenticatie OAuth-exploits niet?

Multifactor-authenticaties werken door u te vragen een beveiligingscode in te voeren wanneer u probeert in te loggen met een wachtwoord.

Nogmaals, in deze exploit zijn wachtwoorden niet het toegangspunt. Dus wanneer hackers OAuth-exploits gebruiken, hoeven ze geen wachtwoord in te voeren - het slachtoffer dat is gedupeerd om toestemming te geven, heeft het al gedaan.

"De applicaties zelf hoeven geen tweede factor te hebben als de gebruiker eenmaal toestemming heeft verleend", aldus het onderzoek van Cisco.

Wat moet ik doen als ik viel voor zoiets als de phishing-fout in Gmail?

Gelukkig is de oplossing gemakkelijker te hanteren dan als je viel voor een standaard phishing-exploit. In het geval van Google kunt u de machtigingen intrekken door naar //myaccount.google.com/permissions te gaan. Als de valse app wordt afgesloten, zoals Google deed met de hoax Google Docs, zou de toestemming ook automatisch worden ingetrokken.

Voor andere services die OAuth gebruiken, is het misschien niet zo eenvoudig. De meeste services die afhankelijk zijn van OAuth hebben een pagina waarop u uw machtigingen kunt beheren, zoals de pagina Twitter-applicaties. Op Android 6.0-apparaten kunt u de machtigingen voor Application Manager intrekken in uw instellingen.

Helaas zijn er honderdduizenden apps die OAuth gebruiken en niet genoeg tijd voor de meeste mensen om alle machtigingspagina's voor hen te vinden.

CNET Magazine: Bekijk een staaltje van de verhalen die je in CNET's kiosk-editie vindt.

Het is gecompliceerd: dit is een datering in het tijdperk van apps. Heb je al plezier? Deze verhalen raken de kern van de zaak.

Populaire Berichten

Krijg eenvoudige controle over je muziek met de Mac-app Skip Tunes

7 manieren om Alexa op kantoor te gebruiken

Verplaats offscreen-vensters terug naar uw bureaublad

Gebruik de schuifbalk van inhoud voor Chrome om gemakkelijk door lange webpagina's te navigeren

Hoe apps te verwijderen zonder de Android Market te gebruiken

Leer jezelf twee van de nieuwe trucs van Photoshop

 

Laat Een Reactie Achter