俄罗斯黑客使用OAuth,假谷歌应用程序来PHISH用户
俄罗斯黑客集团归咎于针对美国,欧洲选举一直致力于电子邮件账户,而不仅仅是通过欺骗受害者放弃密码,而是通过窃取访问令牌。
根据安全公司趋势科技的说法,它的偷偷摸摸的黑客是特别令人担忧的,因为它可以根据谷歌的2步2步验证。
趋势科技在周二的报告中表示,该组织被称为花哨的熊或典当风暴,这一直致力于发行网络钓鱼电子邮件的青睐策略。
攻击通过发送假电子邮件,假装从谷歌,标题“您的帐户处于危险之中”。
趋势科技花哨熊使用的网络钓鱼电子邮件的一个例子。
电子邮件声称谷歌检测到几次意外登录到他们的帐户。然后,建议用户安装称为“Google Defender”的安全应用程序。
但是,该应用程序实际上是一个诡计。实际上,黑客集团试图欺骗用户在谷歌账户中放弃专门的访问令牌,趋势科技说。
落下该计划的受害者将被重定向到实际的Google页面,它可以授权黑客组的应用程序来查看和管理他们的电子邮件。单击“允许”的用户将递交所谓的OAuth令牌。
虽然OAuth协议不会通过任何密码信息转移,但它旨在通过使用特殊令牌来授予第三方应用程序访问Internet帐户。
OAuth协议可能是为方便而设计的,但安全专家警告它可用于恶意效果。在花哨的熊的情况下,黑客集团利用该议定书来构建可以欺骗受害者交换账户访问的假应用,趋势科技说。
“在滥用OAuth批准的筛选过程后,(集团的)rogue应用程序像服务提供商接受的每个其他应用程序一样,”安全公司表示。
甚至谷歌的2步验证甚至旨在防止无责任的账户访问,可以根据趋势科技介绍,可以停止破解。
谷歌的2步验证通过要求不仅需要密码,还要在登录时发送到用户智能手机的特殊代码。安全专家表示,它是保护您帐户的有效方法。
然而,通过欺骗用户通过假谷歌安全应用程序授予访问权限,从幻想承担的网络钓鱼方案管理到索引这种安全措施。
“目标可能熟悉通用网络钓鱼电子邮件,但对OAuth滥用技巧并不多,”趋势科技在其报告中表示。“甚至受过良好受过良好的目标的机会很重要。”
然而,谷歌表示,从这种网络钓鱼攻击中保护用户需要很多步骤。
“此外,谷歌检测和评论潜在的OAuth滥用,占据了数千个应用程序,以违反我们的用户数据策略,例如冒充谷歌应用程序,”公司在一份声明中表示。
“请注意,应从Google网站直接访问真正的Google应用程序,或者从Google Play或Apple App Store安装,”它添加。
根据趋势科技,受害者在2015年的这种网络钓鱼袭击事件,以及2016年。除了Google Defender,Fancy Bear还使用了谷歌电子邮件保护和Google扫描仪等名称的其他应用程序。他们还在雅虎用户追求叫做送货服务和McAfee电子邮件保护的应用程序。
趋势科技该攻击试图通过假谷歌第三方应用程序来欺骗用户交换对其电子邮件的访问。
趋势科技说:“敦促”互联网用户永远不会接受来自未知方或他们没有要求的服务的OAuth令牌请求。
虽然密码重置有时可以撤消OAuth令牌,但它最好检查第三方应用程序是否已连接到电子邮件帐户。这可以通过查看电子邮件帐户的安全设置,并在必要时撤销访问。
对于去年的民主国家委员会来说,花哨的熊是最臭的作用。然而,据趋势科技说,该集团也被发现针对政府部委,媒体组织以及大学和智库的一切。