圖片來源: 

Google

如果最近有人以電子郵件邀請你編輯文件,千萬要小心。 昨天下午起,Google Docs網釣攻擊在網路上迅速蔓延開來,以騙取用戶登入帳密, 同時成為發送網釣的幫兇。所幸Google迅速掙取措施化解了一場網路危機。

根據用戶在Reddit分享的經驗,受害者會接到看似友人傳來Google Docs要求編輯文件的Gmail電子郵件,仔細一看,這封信同時還BCC其他人。等用戶按下郵件中「在Docs中開啟文件」的連結, 就跳出真實的Google登入對話框,要求用戶在數個Google帳號中選擇以其中一個帳號進入Docs,同時有另一個Google OAuth核准頁面,要求用戶授權「Google Docs」存取Gmail帳號,包括寄發、刪改電子郵件, 以及讀取他聯絡人資料的權利。 

用戶按下「允許」後, 才會發現有個不知名的電子郵件擁用者(而非Google)已經獲得了受害者的Docs存取權。而且這封網釣郵件,也同樣經由受害者Gmail帳號發送給其他聯絡人。 

多家國際媒體報導,這透過社交工程的網釣郵件攻擊,昨日已經迅速在網路快速蔓延。Ars Technica分析,這樁網釣攻擊是利用OAuth驗證介面,許多Web服務也使用這個介面,讓用戶在登入時不必輸入密碼。透過OAuth介面的運用,攻擊者成功繞過任何雙因素驗證,即取得讀取、修改或刪除用戶帳號下內容的權利。 

所幸Google立即採取處置。Google在推特上表示已經注意到Google Docs網釣攻擊,並且立即移除了偽造的Google Docs及所有相關網頁,更新Safe Browsing的威脅偵測功能,並關閉OAuth用戶端的功能 

Google及安全專家呼籲,用戶應提高警覺,不要隨便開啟可疑郵件,尤其是大量BCC的郵件,並應開啟多因素驗證,提高駭客存取帳號的困難,同時立即變更密碼。萬一不小心點入,可以到Google存取控管頁面取消外部人存取Google Docs的權利。


Advertisement

更多 iThome相關內容