بسیاری از کاربران ایمیلی دریافت کرده اند که آن ها را به مشاهده یک فایل گوگل داکس دعوت می کند. اما این دعوت نامه تلاشی برای کلاهبرداری فیشینگ به صورت گسترده بود که حدود یک میلیون کاربر را درگیر خود کرد.
حدود یک میلیون نفر قربانی حملات فیشینگ اپلیکیشن تقلبی گوگل داکس شدند.
به گزارش فیسیت، در طول چند سال گذشته گوگل داکس توانسته است تا حدی جای مایکروسافت آفیس را بگیرد. ابزارهای همکاری بهتر و رابط کاربری مبتنی بر فضای ابری خیلی ساده باعث شده است که طرفداران زیادی پیدا کند.
متأسفانه هرروز شاهد این موضوع هستیم که هیچ چیز در اینترنت امن نیست و حال نوبت به گوگل داکس رسیده است. در بهار سال 2017 در طی یک حمله فیشینگ گوگل داکس جعلی ساخته شد و سیستم OAuth گوگل مورد سوء استفاده قرار گرفت. این مهاجمین چگونه از حساب های کاربری گوگل استفاده می کنند؟ چه داده هایی گم شد؟ از کجا باید بفهمید؟ در این مقاله هرچیزی که می دانیم را با شما به اشتراک می گذاریم تا بتوانید امنیت خود را حفظ کنید.
حمله
در طول چند روز گذشته بسیاری از مردم ایمیلی دریافت کردند که آن ها را دعوت به مشاهده یک فایل گوگل داکس می کرد. این ایمیل از نظر ظاهری شباهت بسیار زیادی به یک درخواست گوگل داکس واقعی داشت و موضوع آن به این صورت بود: " Your contact has shared a document on Google Docs with you". گیرنده آن hhhhhhhhhhhhhhhh@mailnator.com بود و آدرس شما در فیلد BBC نوشته شده بود.
همه ی کلاینت های ایمیل آدرس ایمیل کامل را نشان نمی دهند، به همین دلیل خیلی ها شک نمی کنند و روی لینک درخواست کلیک می کنند. این لینک شما را به یک صفحه گوگل برای دسترسی به OAuth می برد. اگر چند حساب کاربری دارید که همه فعال هستند از شما پرسیده می شود که از کدام حساب کاربری می خواهید استفاده کنید. وقتی که یکی را انتخاب کردید یک صفحه مجوز با " گوگل داکس" به شما نشان داده می شود که اجازه ی دسترسی به حساب کاربری را از شما می خواهد.
گرچه اپلیکیشن گوگل داکس از لوگو گوگل درایو استفاده می کند اما این هم باز یک علامت دیگر از تقلبی بودن آن بود. با کلیک کردن روی نام اپلیکیشن جزئیات توسعه گر به شما نشان داده می شود و به جای نشان دادن گوگل، آدرس eugene.pupov@gmail.com و وبسایت https://googledocs.g-cloud.pro.نمایان می شود.
جدا از سوء استفاده از نام، گوگل داکس واقعی هیچ گاه درخواست اجازه دسترسی به حساب کاربری از شما نمی خواهد. چنین تلاش هایی برای مجوز تقلبی و مخرب هستند. پس از امکان دسترسی به حساب کاربری و مخاطبین اپلیکیشن تقلبی گوگل داکس به همه ی مخاطبین شما ایمیل فیشینگ می فرستد.
از آنجایی که مهاجم درخواست دسترسی به " خواندن، فرستادن و مدیریت" ایمیل ها را از شما می خواهد، در نتیحه می توانند اطلاعات ایمیل شما را نیز دریافت کنند. البته با توجه به بیانیه گوگل تنها امکان دسترسی به مخاطبین ممکن است.
باران مصیبت
در حالی که مردم زیادی در شبکه های اجتماعی از تلاش ها برای فیشینگ خبر داده بودند بسیاری از این فراد یک تهدید از طریق ردیت دریافت کرده بودند. مشخص نیست که آیا گوگل از قبل از این تهدید مطلع بوده یا نه اما به نظر می رسد که یک کارمند گوگل باعث این تهدیدها شده بود و تلاش کرده بود که آن را گسترش دهد. در طی نیم ساعت پس از تشدیدها OAuth توسعه گر گوگل داکس را بلاک کرد که باعث قطع حملات فیشینگ شد.
طبق بیانیه گوگل تنها 0.1 درصد کاربران گوگل دچار این حمله شدند. در حالی که این رقم به نظر کوچک می رسد اما جیمیل میلیاردها کاربر دارد در نتیجه این حمله فیشینگ می تواند نزدیک به یک میلیون کاربر را درگیر کند. اگر این اپلیکیشن امکان دسترسی به اپلیکیشن شما را یافته هنوز هم این دسترسی را دارد در نتیجه باید به تنظیمات حساب کاربری گوگل خود رفته و هر اپلیکیشن با نام گوگل داکس را پاک کنید.
سایت های مرتبط با اپلیکیشن گوگل داکس اکثراٌ روی CloudFlare میزبانی می شوند. خوشبختانه شرکت میزبان نیز خیلی سریع در این مورد اقدام کرد و در طی ده دقیقه همه ی زمینه های مرتبط را مسدود کرد. با این حال هر داده ای که این اپلیکیشن به دست آورده می تواند هنوز هم در دستان مهاجم باشد.
راه حل
برای پیش گیری از امکان دسترسی اپلیکیشن تقلبی گوگل داکس به حساب کاربری گوگل شما به Permissions settings رفته و روی Remove کلیک کنید. حال که به این قسمت رفته اید چک کنید و ببینید که چه اپلیکیشن های دیگری به حساب کاربری شما دسترسی دارند و هرکدام از آن ها را که استفاده نمی کنید و یا نمی شناسید حذف کنید.
گوگل توصیه می کند که اگر فکر می کنید که ممکن است شما هم مورد تهاجم قرار گرفته باشید یک چکاپ امنیتی یا Security Checkup انجام دهید. حتی اگر نشده باشید هم هر چند وقت یک بار این چکاپ را انجام دهید.
در حالی که راه حل هایی وجود دارد که شرکت های تکنولوژی می توانند پیاده کنند اما معمولاٌ وقتی که یک حمله صورت می گیرد با آن مقابله می کنند. همیشه افرادی وجود دارند که سعی می کنند از اطلاعات شخصی شما سوء استفاده کنند، در دنیای واقعی به این افراد خائن یا کلاه بردار می گوییم.
بهترین روش دفاع این است که علائم تلاش برای فیشینگ را بدانید. اگر گیرنده و یا فرستنده ایمیل یک آدرس عجیب و غیرمعمول است باید حواس خود را جمع کنید. اگر چیزی دریافت کردید که به نظر یک ایمیل فیشینگ آمد حتماٌ آن را به گوگل ریپورت کنید.
صفحه OAuth مشکل ساز بود، چرا که یک وبسایت مشروع بود که از شما برای یک اپلیکیشن مشکوک اجازه می خواست. شاید راه هایی وجود داشته باشد که گوگل و دیگران بتوانند برای پیش گیری از اپلیکیشن های مخرب کنند که نام آن ها را جعل می کنند اقدام کنند، اما در حال حاضر می توانید اطلاعات توسعه گر را روی هر صفحه گوگل OAuth با کلیک کردن روی نام اپلیکیشن ببینید.
مواظب خودتان باشید
آنچه به نظر می رسد زمان بندی تصادفی و خیلی خوبی بود به روز رسانی اپلیکیشن جیمیل اندروید دقیقاٌ در همان روز حمله گوگل داکس بود. این به روز رسانی وقتی که کاربران روی لینک یک ایمیل مشکوک به فیشینگ کلیک می کنند به آن ها اخطار می دهد. با این حال این به روز رسانی حمله داکس را تشخیص نمی داد چرا که به یک صفحه مجوز گوگل برده می شدید.
ترند میکرو چند هفته پیش از حمله گوگل داکس درمورد این حملات هشدار داده بود. در مورد آن ها یک اپلیکیشن به نام گوگل دیفندر بود، اما روش حمله مشابه حملات گروهی به نام پان استورم (Pawn Storm) بود. در حالی که گوگل قدم هایی را برای پیش گیری از حمله گوگل داکس برداشته است اما باز هم ممکن است در آینده شاهد چنین حملاتی باشیم.
همیشه باید مواظب چنین حملاتی باشیم و آن ها را جدی بگیریم.
ثبت نظر