Attacco phishing verso gli utenti di Google Docs, Google interviene tempestivamente

Attacco phishing verso gli utenti di Google Docs, Google interviene tempestivamente

Una mail appositamente costruita porta l'utente ad autorizzare l'accesso all'account Google ad un sito malevolo. La società ha già neutralizzato il problema

di Andrea Bai pubblicata il , alle 12:01 nel canale Sicurezza
Google
 

Nelle scorse ore si è verificato un attacco phishing indirizzato agli utenti che fanno uso di Google Docs: Google è già corsa ai ripari neutralizzando il problema, ma ne diamo comunque notizia per diffondere maggior consapevolezza in merito a questo genere di minacce informatiche.

Cosa è accaduto, dunque? Nelle ore passate è circolata sulla rete una email, molto ben camuffata, contenete la richiesta di accesso a Google Docs per la condivisione di un documento. Questa mail dirige l'utente a un sito identico a Google Docs dove però possono venir sottratte le credenziali dell'account Google del bersaglio: se la vittima, infati, clicca sul tasto per consentire il permesso di usare le credenziali Google, il worm va a raccogliere tutti i contatti nella rubrica indirizzi Google dell'utente e li aggiunge alla lista dei bersagli.

La mail sembra essere stata indirizzata inizialmente a poche persone, ma a fronte del meccanismo di diffusione si è rapidamente propagata sulla rete. La mail fa uso di una tecnica che è stata collegata dai ricercatori di Trend Micro a quanto visto con Pawn Storm, una campagna di spionaggo che viene attribuita alle operazioni dell'intelligence Russa.

L'attacco sfrutta l'interfaccia di autenticazione OAuth, che è utilizzata da molti servizi web per consentire agli utenti di effettuare operazioni di login senza usare una password. Abusando di OAuth, l'attacco è in grado di presentare una finestra di dialogo di Google legittima richiedendo il permesso di accedere ai servizi Google Docs e, in particolare, per "Vedere e gestire la tua email" e per "Vedere e gestire i file sul tuo Google Drive". Nel caso in cui l'utente sia fuorviato a consentire l'accesso, il sito malevolo va immediatamente a fare incetta dei contatti del bersaglio, inviando loro copie originali del messaggio email compromesso.

L'eventuale email fasulla può essere individuata controllando alcuni elementi: anzitutto l'indirizzo dell'utente appare nel campo "BCC" e non nel campo "To" anche se il messaggio appare come inviato da un contatto conosciuto. L'indirizzo "To" su molti dei messaggi è invece associato ad un indirizzo di mailinator.com. Infine il collegamento al contenuto condiviso, quando visualizzato come fonte, comparirà come una lunga stringa di testo che contiene indirizzi web simili a quelli di Google Docs, ma con domini di primo livello non standard, tra i quali:

googledocs.docscloud.download
googledocs.docscloud.info
googledocs.docscloud.win
googledocs.g-cloud.pro
googledocs.g-cloud.win
googledocs.g-docs.pro
googledocs.g-docs.win
googledocs.gdocs.download
googledocs.gdocs.pro
googledocs.gdocs.win

Come abbiamo scritto in apertura, Google è già intervenuta: non ha solo provveduto a mettere offline i siti associati all'azione di phishing (i domini sembrano essere stati completamente eliminati) ma le permission associate al worm sono state rimosse dagli account delle vittime. Eventuali tentativi di ricercare i domini usati nell'attacco portano ad un nulla di fatto e una ricerca whois restituisce il messaggio "No whois server is known for this kind of object".

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Zenida05 Maggio 2017, 21:55 #1
Una buona notizia, insomma.
Solitamente queste cose si leggono a fattaccio compiuto e alzano un polverone. Di tanto in tanto è bello festeggiare anche se non accade nulla.

Quindi dobbiamo essere grati che oggi tutto sia sembrato un giorno come un altro xD

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^