Giả mạo Google Docs để lừa đảo người dùng sử dụng mã độc
Một hình thức tấn công phishing mới đang phát tán rộng rãi. Bạn nhận được được 1 link tài liệu từ mail của một người quen với nội dung chia sẻ 1 link google docs. Click xem liên kết đó, bạn sẽ được chuyển sang 1 trang với thông báo "Google Docs would like to read, send and delete emails, as well access to your contacts", yêu cầu chọn "allow" để tiếp tục.
Trong trường hợp này, hacker đã lừa người dùng sử dụng cơ chế đăng nhập OAuth lấy được quyền truy cập đọc, gửi, xóa email, có quyền quản lý danh bạ người dùng.
Ứng dụng google docs đã yêu cầu những quyền là đọc, gửi và xóa email trong hòm thư của bạn, quản lý các liên lạc(thêm sửa xóa). Bình thường khi sử dụng dụng các dịch vụ khác của google như drive, docs, excel, ... tất cả đều không có yêu cầu như vậy. Đây rõ ràng là trò lừa đảo mà một ứng dụng nào đó với tên "Google docs" (Cái tên cố ý gây hiểu lầm cho người dùng), đang đòi hỏi những quyền nhạy cảm đối với tài khoản google của bạn. Nếu trao quyền cho ứng dụng, với các quyền như vậy ta có thể hình dung đến một kịch tồi tệ như sau:
B1: đọc toàn bộ nội dung email => thu thập toàn bộ thông tin, có thể thông tin tài khoản ngân hàng nằm trong này
B2: đọc toàn bộ danh sách các tài khoản khác ở trong danh bạ, gửi mail để phát tán.
B3: Xóa toàn bộ dấu vết.
=> Mức ảnh hưởng của cuộc tấn công lan rất nhanh do phát tán theo danh bạ của nạn nhân
Có một sự láu cá ở đây, ứng dụng độc hại này được đặt tên là "google docs" => gây hiểu nhầm cho người dùng rằng đây là "google docs của google".
google đã biết được vấn đề này và đưa ứng dụng "docs fake" này vào blacklist
Cách thức tấn công này không mới, có thể áp dụng cho các loại tài khoản mạng xã hội khác như facebook. Cách xóa ứng dụng sau khi đã trót trao quyền.
Đối với Google:
b1. truy cập vào trang account.google.com
b2. Chọn "Ứng dụng và trang web đã kết nối"
b3. Chọn "quản lý ứng dụng"
b4. Tìm ứng dụng muốn xóa, chọn và xóa
ĐỐi với Facebook:
b1. truy cập facebook
b2. Chọn "cài đặt", ở thanh menu dọc bên trái chọn "Ứng dụng"
b3. Tìm ứng dụng muốn xóa, chọn và xóa
Hãy bảo vệ tài khoản, thông tin cá nhân an toàn, rất dễ mất thông tin ngân hàng từ những hình thức tấn công lừa đảo như thế này.
Trong trường hợp này, hacker đã lừa người dùng sử dụng cơ chế đăng nhập OAuth lấy được quyền truy cập đọc, gửi, xóa email, có quyền quản lý danh bạ người dùng.
Cơ chế xác thực OAuth là gì? OAuth là viết tắt của Open standard Authorization, có thể hiểu như thế này. Rất nhiều ứng dụng hiện nay có chức năng "đăng nhập bằng tài khoản mạng xã hội như Facebook,Google, Tweeter". Khi sử dụng, người dùng sẽ trao một số quyền sử dụng tài khoản mạng xã hội của mình cho ứng dụng (Facebook, Google, ...). Facebook (hoặc Google hoặc Tweeter) sẽ hỏi người dùng: ứng dụng X yêu cầu những quyền này ` quyền 1, quyền 2,...` đối với tài khoản của bạn, bạn có cho phép không? Nếu nhấn cho phép, ứng dụng được sử dụng các quyền mà nó đã yêu cầu, còn nếu chọn không cho phép, ứng dụng không có những quyền mà nó muốn tất nhiên bạn cũng sẽ đăng nhập bằng tài khoản mạng xã hội không thành công
Ứng dụng google docs đã yêu cầu những quyền là đọc, gửi và xóa email trong hòm thư của bạn, quản lý các liên lạc(thêm sửa xóa). Bình thường khi sử dụng dụng các dịch vụ khác của google như drive, docs, excel, ... tất cả đều không có yêu cầu như vậy. Đây rõ ràng là trò lừa đảo mà một ứng dụng nào đó với tên "Google docs" (Cái tên cố ý gây hiểu lầm cho người dùng), đang đòi hỏi những quyền nhạy cảm đối với tài khoản google của bạn. Nếu trao quyền cho ứng dụng, với các quyền như vậy ta có thể hình dung đến một kịch tồi tệ như sau:
B1: đọc toàn bộ nội dung email => thu thập toàn bộ thông tin, có thể thông tin tài khoản ngân hàng nằm trong này
B2: đọc toàn bộ danh sách các tài khoản khác ở trong danh bạ, gửi mail để phát tán.
B3: Xóa toàn bộ dấu vết.
=> Mức ảnh hưởng của cuộc tấn công lan rất nhanh do phát tán theo danh bạ của nạn nhân
Có một sự láu cá ở đây, ứng dụng độc hại này được đặt tên là "google docs" => gây hiểu nhầm cho người dùng rằng đây là "google docs của google".
google đã biết được vấn đề này và đưa ứng dụng "docs fake" này vào blacklist
Cách thức tấn công này không mới, có thể áp dụng cho các loại tài khoản mạng xã hội khác như facebook. Cách xóa ứng dụng sau khi đã trót trao quyền.
Đối với Google:
b1. truy cập vào trang account.google.com
b2. Chọn "Ứng dụng và trang web đã kết nối"
b3. Chọn "quản lý ứng dụng"
b4. Tìm ứng dụng muốn xóa, chọn và xóa
ĐỐi với Facebook:
b1. truy cập facebook
b2. Chọn "cài đặt", ở thanh menu dọc bên trái chọn "Ứng dụng"
b3. Tìm ứng dụng muốn xóa, chọn và xóa
Hãy bảo vệ tài khoản, thông tin cá nhân an toàn, rất dễ mất thông tin ngân hàng từ những hình thức tấn công lừa đảo như thế này.
