Google文档网络钓鱼诈骗underscores oauth安全风险
伟大的环聊枢纽:这意味着你和你现在应该怎么做
Slack应用程序现在可以使用下拉菜单
Data Analytics在罗马的Fiumicino机场削减队列和飞行延误
谷歌安全中心在英国生活
安全团队和C-Suite Exec视图未对齐
Cloudera和Hortonworks下沉差异以合并
美国FCC杀死计划允许在航班上进行手机对话
七种网状路由器如何处理Wi-Fi保护的设置(WPS)
作为可再生能源攀登的煤炭跌至1978年级别
仪式如何使用Salesforce Commerce Cloud在线复制物理体验
哈蒙德说,英国将单方面税巨人税
DCMS在LFFN计划的最后一轮的全纤维中有95米
技术应该故意寻求黑色才华,说斯普德克德
搜索开始为英国网络安全无名英雄
Facebook的M助理在美国推出,将提供聊天建议
LastPass正在争先恐后地修复另一个严重的漏洞
今年的H-1B上限很快就达到了 - 并超过了
Google的Chrome将很快开始警告您的HTTP页面
缺陷让攻击者劫持多个Linksys路由器模型
优步罚款148万美元用于数据泄露封面
作为收入蒸发的微软的企业电话策略拖鞋
谷歌深度促使AI-LED努力提高数据中心能源效率
思考切换到Windows 10?现在是行动的时候了
英特尔Xeon芯片重新命名为信用卡
F1和其他方式如何超越描述性分析
赎金软件下来,但没有出来,报告显示
为什么Uber工程师被指控窃取Waymo秘密从自驾驶汽车上辞职
商务秘书奖项监管机构£10米推动创新
金融服务公司缺乏快速创新的文化
作者:Djingo,有一个新的虚拟助手
DFE enrols招收到提供计算机科学教师培训计划
Stratasys推出了云控制机器人3D打印机的装配线
新加坡工人最糟糕的是,AI在东盟的影响受到影响
RBS,Barclays和Natwest客户遭受更多的手机银行中断
BT在第一个季度强调回来
如何统一新的云服务,如低价芥末
新的瑞兰软件要求在动漫风格的射手游戏中高分比特
公用乐能源供应商使用云迅速缩放IT服务台
Microsoft将Windows VM视为Sandbox Rogue代码
AT&T试验打开开关,以获得更好的未来服务
新款IETF椅子和思科同伴Alissa Cooper的5个问题
Cyber​​spies点击免费工具来制作强大的恶意软件框架
电子邮件转储在选举之前击中法国候选人长
惠普再次崛起成为世界顶级电脑制造商,因为联想滑倒
根据GDS报告,政府部门正在探索新技术
办公室365中断:登录问题困扰欧洲和美国的用户
大多数Windows零日漏洞已经被修补
零售和金融顶级网络目标
政府系统使用古代遗弃,有可能被黑客攻击
您的位置:首页 >论坛 > 电子商务 >

Google文档网络钓鱼诈骗underscores oauth安全风险

2021-08-14 12:44:11 [来源]:

谷歌停止了周三聪明的电子邮件网络钓鱼计划,但攻击可能很好地卷土重来。

即使谷歌正在尝试保护用户免受这样的攻击,一名安全研究员已经成功复制了它。

“它看起来就像原来的欺骗一样,”对比度安全的安全研究总监Matt Austin说。

网络钓鱼计划 - 可能已经分发到100万元的Gmail用户 - 特别有效,因为它愚弄了一个看起来像Google文档的虚拟应用程序的用户。

收到收到电子邮件的收件人单击一个“在文档中打开”的蓝色框。那些被带到实际的Google帐户页面的人,要求他们切换到虚拟应用程序的Gmail。

虽然用欺骗电子邮件欺骗用户,但周三的攻击涉及使用真正的Google进程制作的实际第三方应用程序。该公司的开发人员平台可以使任何人能够创建基于Web的应用程序。

在这种情况下,罪魁祸首选择将应用程序“Google文档”命名为欺骗用户。

搜索公司通过删除该应用程序来关闭攻击。它还禁止其他开发人员使用“Google”来命名其第三方应用程序。

[评论这个故事,请访问Computerworld的Facebook页面。]

然而,奥斯汀发现他仍然可以重现星期三的网络钓鱼计划。他这样做,通过使用搜索公司的开发人员平台来创建自己的第三方应用程序,也称为“Google文档”。

迈克尔·坎

安全研究员Matt Austin使用西里尔剧本复制了星期三的网络钓鱼攻击。

唯一的区别是奥斯汀使用了在俄罗斯使用的西里尔字符,在他的应用名称中的字母“o”。

“西里尔字母O看起来与其他字母O完全相同,”奥斯汀说。然后,他在周三的休息中复制了剩下的攻击,创建使用相同的设计界面的假电子邮件。

Austin已将安全问题提交给Google,现在其开发人员平台不再接受该名称下的应用程序。然而,他和其他安全专家预测,糟糕的演员也在努力复制周三的袭击。

“毫无疑问,这将再次重复,”Cisco CloudLock Cyber​​ Cyber​​ Slabs的董事Ayse Kaya表示,安全提供商。“这可能会频繁发生。”

更传统的网络钓鱼电子邮件方案可以通过欺骗用户放弃登录凭据来罢工。然而,星期三的攻击采取了不同的方法,并滥用了名为OAuth协议的方法,是互联网帐户与第三方应用程序的链接的便捷方式。

通过OAuth,用户不必交出任何密码信息。它们反而授予许可,以便在谷歌,谷歌,Facebook或Twitter上,一个第三方应用程序可以连接到他们的互联网账户。

但像任何技术一样,可以利用OAuth。回到2011年,一个开发人员甚至警告说,该协议可以用冒充Google服务的应用程序使用的应用程序。

尽管如此,OAuth已成为在其中使用的流行标准。CloudLock发现超过276,000个应用程序通过谷歌,Facebook和Microsoft Office 365等服务使用该协议。

有助于企业实施OAuth的IT顾问表示,谷歌自己的网络钓鱼计划是什么,谷歌自己的服务并没有做到这一点。

例如,Dummy Google Docs应用程序已注册到[email protected]的开发人员 - 产品不是真实的红旗。

但是,虚拟应用程序仍然设法欺骗用户,因为谷歌自己的帐户权限页面从未明白地列出了开发人员的信息,除非用户点击页面以找出,Parecki表示。

CloudLock.

如果鼠标悬停在产品信息上,则只会出现假冒Google文档应用程序背后的开发人员。

“我很惊讶谷歌并没有显示与这些应用程序的许多识别信息,”他说。“这是可能出现问题的一个很好的例子。”

Parecki说,而不是隐藏这些细节,而不是隐藏这些细节,所有它应该向用户展示。

AUSTIN同意,要求要求Gmail的应用程序应包括更明显的警告,而不是用户交换的内容。

“我不在OAuth讨厌Bandwagon。奥斯汀说,我认为它是有价值的。““但它有一些风险。”

幸运的是,谷歌能够快速融合周三的攻击,并正在引入“反滥用系统”,以防止它再次发生。可能受到影响的用户可以进行Google安全检查,以查看何种应用程序已连接到其帐户。

该公司的Gmail Android应用程序还在推出一个新的安全功能,以警告用户可能的网络钓鱼尝试。

它诱人安装应用程序并假设他们安全。但是,在将账户链接到第三方应用程序时,用户和企业需要小心,这可能要求比他们需要的更多访问,CloudLock的Kaya说。

“黑客有一个墓地利用这种攻击,”她说。“所有公司都需要考虑这一点。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。