Perché la truffa di Google Docs era un tipo diverso di phishing

È uno schema di phishing che persino l'autenticazione a più fattori e la modifica della password non verranno risolti.

Mercoledì, un massiccio attacco di phishing di Google Docs si è diffuso su Gmail, dirottando gli account delle persone e inviandosi spam agli elenchi dei contatti delle vittime. Google ha interrotto rapidamente l'attacco, che ha colpito circa lo 0, 1 percento degli utenti di Gmail.

Anche a quel basso numero, con circa 1 miliardo di utenti Gmail, è ancora compromessa almeno 1 milione di persone. E il tipico rilevamento di phishing offerto da Gmail non può bloccarlo perché l'attacco non ha nemmeno bisogno delle vittime per digitare le loro password.

La truffa del phishing si basava sullo sfruttamento di OAuth, uno schema raro che si è esposto al mondo mercoledì. OAuth, acronimo di Open Authorization, consente a app e servizi di "parlare" tra loro senza accedere ai propri account. Pensa a come Amazon Alexa può leggere i tuoi eventi di Google Calendar o a come i tuoi amici di Facebook possono vedere quale canzone stai ascoltando su Spotify. Negli ultimi tre anni, le app che utilizzano OAuth sono passate da 5.500 a 276.000, secondo Cisco Cloudlock.

"Ora che questa tecnica è ampiamente conosciuta, è probabile che ponga un problema significativo: ci sono così tanti servizi online che usano OAuth ed è difficile per loro controllare completamente tutte le applicazioni di terzi là fuori", ha detto Greg Martin, Amministratore delegato della società di cibersicurezza Jask, in una email.

In che modo l'exploit di Google Documenti è diverso dagli attacchi di phishing tipici?

Un tipico attacco di phishing popola un sito Web che intende indurti a digitare la tua password, inviare informazioni sensibili al ladro o registrarlo in un database.

Con gli exploit OAuth, come nel caso della truffa di Google Docs, gli account possono essere dirottati senza che l'utente debba digitare nulla. Nello schema di Google Documenti, l'autore dell'attacco ha creato una versione falsa di Google Documenti e ha chiesto il permesso di leggere, scrivere e accedere alle e-mail della vittima.

Concedendo il permesso di sfruttare OAuth, hai effettivamente dato ai malintenzionati l'accesso al tuo account senza bisogno di una password.

Perché non posso semplicemente cambiare la mia password?

OAuth non funziona tramite password, funziona tramite token di autorizzazione. Se una password è una chiave che blocca le porte del tuo account, OAuth è un portiere che ha le chiavi e che viene indotto a far entrare altre persone.

Dovresti revocare le autorizzazioni per eliminare gli intrusi.

Perché l'autenticazione a più fattori non blocca gli exploit OAuth?

Le autenticazioni multifattore funzionano richiedendo l'immissione di un codice di sicurezza quando si prova ad accedere tramite una password.

Ancora una volta, in questo exploit, le password non sono il punto di ingresso. Quindi, quando gli hacker usano gli exploit OAuth, non hanno bisogno di inserire una password - la vittima ingannata nel dare il permesso già fatto.

"Le applicazioni stesse non hanno bisogno di avere un secondo fattore una volta che l'utente ha concesso le autorizzazioni", secondo la ricerca di Cisco.

Quindi, cosa dovrei fare se cadessi per qualcosa come la truffa di phishing di Gmail?

Fortunatamente, la soluzione è più facile da gestire rispetto a quando si è caduti per un exploit di phishing standard. Nel caso di Google, puoi revocare le autorizzazioni andando su //myaccount.google.com/permissions. Se l'app falsa viene disattivata, come Google ha fatto con l'hoax di Google Documenti, anche l'autorizzazione verrebbe automaticamente revocata.

Per altri servizi che utilizzano OAuth, potrebbe non essere così semplice. La maggior parte dei servizi basati su OAuth avrà una pagina in cui è possibile gestire le autorizzazioni, come la pagina Applicazioni di Twitter. Sui dispositivi Android 6.0, puoi revocare le autorizzazioni su Application Manager nelle tue impostazioni.

Sfortunatamente, ci sono centinaia di migliaia di app che usano OAuth e non abbastanza tempo per la maggior parte delle persone per trovare tutte le pagine delle autorizzazioni per loro.

CNET Magazine: dai un'occhiata a un campione delle storie che troverai nell'edizione di Edicola CNET.

È complicato: si tratta di appuntamenti nell'era delle app. Divertirsi ancora? Queste storie arrivano al nocciolo della questione.

 

Lascia Il Tuo Commento