Giả mạo Google Docs để lừa đảo người dùng sử dụng mã độc

Thảo luận trong 'Web Security' bắt đầu bởi nonellldd, 05/05/17, 09:05 AM.

  1. nonellldd

    nonellldd VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 19
    Đã được thích: 18
    Điểm thành tích:
    18
    Một hình thức tấn công phishing mới đang phát tán rộng rãi. Bạn nhận được được 1 link tài liệu từ mail của một người quen với nội dung chia sẻ 1 link google docs. Click xem liên kết đó, bạn sẽ được chuyển sang 1 trang với thông báo "Google Docs would like to read, send and delete emails, as well access to your contacts", yêu cầu chọn "allow" để tiếp tục.
    gdocphish1.jpg
    Trong trường hợp này, hacker đã lừa người dùng sử dụng cơ chế đăng nhập OAuth lấy được quyền truy cập đọc, gửi, xóa email, có quyền quản lý danh bạ người dùng.

    Cơ chế xác thực OAuth là gì? OAuth là viết tắt của Open standard Authorization, có thể hiểu như thế này. Rất nhiều ứng dụng hiện nay có chức năng "đăng nhập bằng tài khoản mạng xã hội như Facebook,Google, Tweeter". Khi sử dụng, người dùng sẽ trao một số quyền sử dụng tài khoản mạng xã hội của mình cho ứng dụng (Facebook, Google, ...). Facebook (hoặc Google hoặc Tweeter) sẽ hỏi người dùng: ứng dụng X yêu cầu những quyền này ` quyền 1, quyền 2,...` đối với tài khoản của bạn, bạn có cho phép không? Nếu nhấn cho phép, ứng dụng được sử dụng các quyền mà nó đã yêu cầu, còn nếu chọn không cho phép, ứng dụng không có những quyền mà nó muốn tất nhiên bạn cũng sẽ đăng nhập bằng tài khoản mạng xã hội không thành công

    Ứng dụng google docs đã yêu cầu những quyền là đọc, gửi và xóa email trong hòm thư của bạn, quản lý các liên lạc(thêm sửa xóa). Bình thường khi sử dụng dụng các dịch vụ khác của google như drive, docs, excel, ... tất cả đều không có yêu cầu như vậy. Đây rõ ràng là trò lừa đảo mà một ứng dụng nào đó với tên "Google docs" (Cái tên cố ý gây hiểu lầm cho người dùng), đang đòi hỏi những quyền nhạy cảm đối với tài khoản google của bạn. Nếu trao quyền cho ứng dụng, với các quyền như vậy ta có thể hình dung đến một kịch tồi tệ như sau:
    B1: đọc toàn bộ nội dung email => thu thập toàn bộ thông tin, có thể thông tin tài khoản ngân hàng nằm trong này :D
    B2: đọc toàn bộ danh sách các tài khoản khác ở trong danh bạ, gửi mail để phát tán.
    B3: Xóa toàn bộ dấu vết.
    => Mức ảnh hưởng của cuộc tấn công lan rất nhanh do phát tán theo danh bạ của nạn nhân
    Có một sự láu cá ở đây, ứng dụng độc hại này được đặt tên là "google docs" => gây hiểu nhầm cho người dùng rằng đây là "google docs của google".

    google đã biết được vấn đề này và đưa ứng dụng "docs fake" này vào blacklist

    Cách thức tấn công này không mới, có thể áp dụng cho các loại tài khoản mạng xã hội khác như facebook. Cách xóa ứng dụng sau khi đã trót trao quyền.

    Đối với Google:
    b1. truy cập vào trang account.google.com
    b2. Chọn "Ứng dụng và trang web đã kết nối"
    b3. Chọn "quản lý ứng dụng"
    b4. Tìm ứng dụng muốn xóa, chọn và xóa

    ĐỐi với Facebook:
    b1. truy cập facebook
    b2. Chọn "cài đặt", ở thanh menu dọc bên trái chọn "Ứng dụng"
    b3. Tìm ứng dụng muốn xóa, chọn và xóa

    Hãy bảo vệ tài khoản, thông tin cá nhân an toàn, rất dễ mất thông tin ngân hàng từ những hình thức tấn công lừa đảo như thế này.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  2. One One

    One One Member

    Tham gia: 18/04/17, 02:04 PM
    Bài viết: 13
    Đã được thích: 6
    Điểm thành tích:
    3
    Mod cho mình hỏi chút:
    1. Mật khẩu của người dùng thì có bị mất không hay chỉ trao quyền để truy cập đọc, gửi xóa mail thôi?
    2. Với việc này thì có gây ra hậu quả nghiêm trọng ko ngoài lộ các thông tin về ngân hàng?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. summerlove

    summerlove Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 14
    Đã được thích: 6
    Điểm thành tích:
    3
    Cụ thể đã có người dùng nào bị mất tiền chưa bạn? Sau khi xóa ứng dụng có cần phải làm gì nữa không ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. narutotoma

    narutotoma Member

    Tham gia: 11/04/17, 10:04 AM
    Bài viết: 16
    Đã được thích: 2
    Điểm thành tích:
    3
    Mod cho mình hỏi cách thức xóa toàn bộ dấu vết của tấn công loại này với nhé :)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. nonellldd

    nonellldd VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 19
    Đã được thích: 18
    Điểm thành tích:
    18
    Tấn công loại này sẽ không lấy được mật khẩu mail, nhưng có quyền truy cập vào hộp thư đến, có quyền đọc vào gửi mail.
    Nguy hiểm hay không tùy thuộc vào nội dung trong mail, thông tin ngân hàng, video hình ảnh nhạy cảm, bí mật công ty, ....

    Sau khi xóa quyền truy cập của app thì app sẽ không còn các quyền đọc, gửi mail nữa, giống như bạn không cho phép lúc ban đầu vậy. Tuy nhiên các thông tin từ trước đó sẽ không còn bí mật.

    narutoma: ý của bạn là đứng từ người tấn công hả :?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. narutotoma

    narutotoma Member

    Tham gia: 11/04/17, 10:04 AM
    Bài viết: 16
    Đã được thích: 2
    Điểm thành tích:
    3
    Thank mod đã trả lời. Ðúng là mình muốn hỏi các hacker đã xóa toàn bộ dấu vết như thế nào?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. nonellldd

    nonellldd VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 19
    Đã được thích: 18
    Điểm thành tích:
    18
    nếu đọc và gửi mail bạn phải sử dụng API của google => cái này gg biết, nhưng không dễ gg cung cấp thông tin log ra ngoài.
    gửi mail xong người ta sẽ xóa ngay thư gửi, người khác rep lại => có chứa nội dung thư gửi => phát hiện là xóa ngay
    các trường hợp người nhận được thư lừa đảo trả lời bằng thư mới => khó nhận ra thì mình không chắc app có xóa được dấu vết hay không.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan