Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail
Το στάνταρτ OAuth, χάρη στο οποίο παραμένουμε συνδεδεμένοι στο λογαριασμό μας επί μακρόν για να απολαμβάνουμε πρόσβαση σε πλήθος υπηρεσιών διατηρώντας ζωντανή την πιστοποίηση της ταυτότητάς μας, φαίνεται ότι εκμεταλλεύτηκαν «παιχνιδιάρικοι» εισβολείς για να διασπείρουν ένα μάλλον άκακο mail από λογαριασμό σε λογαριασμό Gmail.
Μάλιστα, η τεχνική αποδίδεται σε script kiddies, δηλαδή ανήλικους που παίζουν
Η συζήτηση έχει ανάψει στο Reddit για τη νέα τεχνική μαζικής αποστολής μηνύματος που κατορθώνει να δει και να χρησιμοποιήσει διευθύνσεις e-mail.
Ένα μήνυμα spam με αποστολέα τον «hhhhhhhhhhhhhhhh@mailinator.com» καλεί τον παραλήπτη να ανοίξει μια πρόσκληση που φαίνεται να προέρχεται από κάποιον χρήστη με τον οποίο ήδη αλληλογραφεί.
Ο χρήστης πρέπει να ανοίξει την πρόσκληση με το Google Docs και επιλέγοντας το, το μήνυμα διασπείρεται σε οποιονδήποτε έχει στις Επαφές του, πολλαπλασιάζοντας τη διάδοση από παραλήπτη σε παραλήπτη. Εντούτοις, η Google επενέβη και σε μια ώρα «το πρόβλημα με το Google Drive πρέπει να επιλύθηκε».
We've addressed the issue with a phishing email claiming to be Google Docs. If you think you were affected, visit https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— Google Docs (@googledocs) May 3, 2017
Η πρώτη ανάλυση για την τεχνική, σημειώνει το έγκυρο Tom’s Guide, δείχνει ότι οι δημιουργοί εκμεταλλεύτηκαν το OAuth, μια τεχνολογία-στάνταρτ που επιτρέπει στον χρήστη να παραμένει συνδεδεμένος στον λογαριασμό του ώστε να αξιοποιήσει σειρά υπηρεσιών χωρίς να χρειαστεί να κάνει ξανά login. Αν για παράδειγμα μπείτε στο Gmail σας από μια καρτέλα του Chrome και ανοίξετε μια ακόμα για να δείτε τα αρχεία σας στο Google Drive, τότε δεν θα χρειαστεί χάρη στο εισιτήριο, το «token» που εκδόθηκε από το OAuth για να μεταφερθείτε απευθείας στον τομέα σας, χωρίς να πληκτρολογήσετε πάλι τα στοιχεία σας.
Με την νέα τεχνική υποκλοπής των στοιχείων σας («phishing» attack, για το «ψάρεμα» των στοιχείων σας με κάποιο δόλωμα), οι εισβολείς ξεγελούν τους χρήστες να παραχωρήσουν σε μια πλαστή εφαρμογή που εμφανίζεται ως Google Docs το δικαίωμα να αξιοποιεί το token του OAuth και να αποκτά πρόσβαση στο λογαριασμό σας, με αποτέλεσμα να μπορεί να στείλει mail στις Επαφές του λογαριασμού σας. Η τεχνική αυτή δεν είναι η πρώτη φορά που χρησιμοποιείται και είναι αποτελεσματική, γιατί για να ανακληθεί το token πρέπει ο χρήστης να αποσυνδεθεί από το λογαριασμό του από όλες τις συσκευές που παραμένει συνδεδεμένος.
Οι ειδικοί κρίνουν ότι το επίμαχο μήνυμα που κυκλοφόρησε στις 3 Μάη πρέπει να είναι δουλειά νεαρών παιδιών που παίζουν με έτοιμο κώδικα που κοινοποιείται σε σχετικούς δικτυακούς τόπους, κι αυτό καθώς ο κώδικας αυτός εντοπίστηκε ήδη στους δημοφιλέστερους.
Τι πρέπει να ελέγξετε
Το γεγονός είναι μια καλή ευκαιρία για να ελέγξετε σε ποιες εφαρμογές/υπηρεσίες έχετε παραχωρήσει δικαίωμα πρόσβασης στο λογαριασμό σας στο Google. Επισκεφτείτε τη σελίδα που αφορά τις άδειες στο https://myaccount.google.com/permissions.
Εάν δείτε στη λίστα κάποια εφαρμογή που ονομάζεται Google Docs, αφαιρέστε το δικαίωμα πρόσβασης, καθώς δεν πρόκειται για το app του G Suite.
Πηγή: tech.in.gr
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Blogs
- Δύσκολες ώρες για γνωστό τραγουδιστή
- Κρίσιμες ώρες για Καίτη Γκρέυ: Η διαθήκη και το γράμμα που σοκάρει
- Καιρός - Προειδοποίηση Καλλιάνου: Όλα δείχνουν οτι έρχεται θερμή εισβολή - Δείτε πότε
- Όλη η αλήθεια για Κομπανί: έτσι πήγε στον Ολυμπιακό!
- Άναψε η ένδειξη καυσίμων; Όσα πρέπει να ξέρεις...
- Γουρούνια επιτέθηκαν σε περιπολικό
- Γυναίκα κέρδισε 43 εκατομμύρια δολάρια σε καζίνο κι αυτό αρνείται να πληρώσει
- Ρονάλντο: Φεύγω, γιατί μου φέρονται σαν να είμαι εγκληματίας…
- Να σταματήσει ο εμπαιγμός των απλήρωτων 2300 συνταξιούχων και 140 εργαζομένων του ΕΔΟΕΑΠ
- Καταγγελία που προκαλεί αίσθηση για οδηγό του Taxibeat και η μάλλον «χλιαρή» απάντηση της εταιρίας
- Δημοφιλέστερες Ειδήσεις Aixmi
- Ρονάλντο: Φεύγω, γιατί μου φέρονται σαν να είμαι εγκληματίας…
- Πανικός και στο Παρίσι: Όχημα έπεσε πάνω σε βαν της αστυνομίας-Νεκρός ο δράστης
- Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail
- Μετά την επίθεση στο τζαμί, ο δράστης έστελνε φιλιά στα θύματα του!!!
- O Σουλτς προαναγγέλλει υψηλή φορολογία για τους πλούσιους… αν εκλεγεί
- Περισσότεροι από 369.000 άνεργοι για πάνω από 4 έτη
- O ΣΕΒ ζητεί από τον Τσίπρα να πιέσει για την «αναγέννηση» της βιομηχανίας
- Ελληνοτουρκικά, μεταναστευτικό και Κυπριακό στη συνάντηση Μητσοτάκη-Γιλντιρίμ
- Στο Μαξίμου ο Θεοδώρακης για τη συνάντηση με Τσίπρα
- Τελευταία Νέα Aixmi
- Πώς θα αποφύγετε την κλοπή ταυτότητας από μια πρόσκληση στο Gmail
- Ελληνοτουρκικά, μεταναστευτικό και Κυπριακό στη συνάντηση Μητσοτάκη-Γιλντιρίμ
- Στο Μαξίμου ο Θεοδώρακης για τη συνάντηση με Τσίπρα
- Πανικός και στο Παρίσι: Όχημα έπεσε πάνω σε βαν της αστυνομίας-Νεκρός ο δράστης
- O Σουλτς προαναγγέλλει υψηλή φορολογία για τους πλούσιους… αν εκλεγεί
- O ΣΕΒ ζητεί από τον Τσίπρα να πιέσει για την «αναγέννηση» της βιομηχανίας
- Περισσότεροι από 369.000 άνεργοι για πάνω από 4 έτη
- Ρονάλντο: Φεύγω, γιατί μου φέρονται σαν να είμαι εγκληματίας…
- Μετά την επίθεση στο τζαμί, ο δράστης έστελνε φιλιά στα θύματα του!!!
- Πανικός και στο Παρίσι: Όχημα έπεσε πάνω σε βαν της αστυνομίας
- Τελευταία Νέα Κατηγορίας Blogs
- Επανιέλ φερμάρει μπεκάτσα σε ....χωράφι....VIDEO
- Γουρούνια επιτέθηκαν σε περιπολικό
- Πιλότος καθυστέρησε πτήση 2,5 ώρες για να φάει σάντουιτς!
- Πανελλαδικές 2017 - Τα θέματα στο μάθημα Μαθηματικά και Στοιχεία Στατιστικής
- Η ανάρτηση του Σταύρου Θεοδωράκη μετά την περιπέτεια της υγείας του
- Ειρηνικές σχέσεις ελλάδας και τουρκίας ζήτησε από τον γιλντιρίμ ο μητσοτάκης
- Ο Πρόεδρος της Δημοκρατίας επέδωσε τα ξίφη στους νέους και τις νέες ανθυπολοχαγούς
- Συνελήφθει την ώρα που έκανε πρόταση γάμου
- «Βόμβες» από Γουακάσο για τον Παναθηναϊκό: «Δε μου πλήρωναν ούτε...»
- Γουακάσο: Σύντομα ελεύθερος από τον Παναθηναϊκό
