Вирус заглянул в документы

Google предупредила о фишинговой рассылке, содержащей вирус

Chromorange/Global Look Press
Пользователей Google атаковал вирус, маскирующийся под Google Docs, — он присылает электронные письма и обманом вымогает доступ к почте и списку контактов. Как отличить фиктивное сообщение от подлинного и что делать, если переход по опасной ссылке все-таки произошел, — в материале «Газеты.Ru».

Пользователи Google Docs подверглись обширной фишинговой атаке, которая мгновенно распространилась по всему миру. В результате множество аккаунтов Google оказалось скомпрометировано, а личные данные попали в руки злоумышленников.

Сложно, но эффективно

Эксперты сообщают, что механизм атаки довольно сложен, а на уловку легко попасться. Жертва получает письмо, в котором говорится, что кто-то из списка ее контактов предоставил доступ к документу на Google Docs, и предлагается тут же его открыть.

После этого в браузере открывается настоящая страница Google, предлагающая выбрать нужный аккаунт, если у пользователя их несколько. Тут в игру вступает Google Docs, точнее, не сам сервис, а замаскированное под него зловредное приложение, которое просит обеспечить ему доступ к профилю.

В случае положительного ответа злоумышленники смогут воспользоваться электронной почтой Gmail, а затем разослать дубликат вируса всем, кто находится в адресной книге, — именно из-за этого фишинговые письма так быстро разлетелись по всему интернету.

Затейливость этой фишинг-схемы заключается в том, что она не просто уводит пользователя на фиктивную страницу Google, которую можно легко идентифицировать по опечатке в адресной строке. Эта схема работает внутри реальной системы Google, а уже потом просит предоставить доступ к вирусному веб-приложению, не имеющему ничего общего с компанией.

Как отмечает The Verge, запрос от хакеров внешне выглядит весьма убедительно:

Однако если попробовать посмотреть информацию о разработчике приложения, то здесь сразу возникают вопросы. Прежде всего, кто такой Юджин (Евгений?) Пупов.

Сообщается, что реальное и фиктивное письма от Google Docs все-таки можно различить, если присмотреться повнимательнее. В частности, у фейка в нижней части сообщения будет отсутствовать адрес компании, а также рамка вокруг текста сообщения. Кроме того, среди получателей вирусного письма помимо пользователя будет фигурировать аккаунт hhhhhhhhhhhhhhhh@mailinator.com.

В ловушку может попасть каждый

Если все-таки фишинга избежать не удалось, необходимо открыть страницу со списком приложений, связанных с аккаунтом Google. Там можно легко удалить фиктивный Google Docs, тем самым запретив ему доступ к личным данным, а затем сменить пароль.

Google заявила, что приняла необходимые меры, чтобы остановить распространение атаки.

«В рамках защиты наших пользователей от приложения, выдающего себя за Google Docs, мы отключили аккаунты злоумышленников, а также удалили фейковые страницы. Мы просим сообщить о всех попытках фишинга в техподдержку Gmail», — говорится в официальном сообщении компании.

В мобильном приложении Gmail для устройств на платформе Android была добавлена антифишинговая проверка. В случае клика на подозрительную ссылку пользователь получит уведомление, предупреждающее о возможной компрометации частных данных. Эта функция станет доступна всем пользователям в течение ближайшей недели.

Доподлинно неизвестно, помогли бы такие предупреждения против свершившегося фишинга, но в любом случае они выполняют важную просветительскую функцию —

в настоящее время атаки на персональные данные становятся все более изощренными, и распознать подделку порой не могут даже опытные интернет-пользователи.

Основной целью фишинговых атак является получение от пользователя его конфиденциальных данных. Менеджер по группе продуктов ESET Russia Сергей Кузнецов рассказал «Газете.Ru», что подобные атаки зачастую осуществляются злоумышленниками с целью финансовой выгоды. Тем не менее он подчеркнул, что, несмотря на заверения Google о том, что проблема решена, зараженные письма теоретически еще могут приходить на почту пользователей сервиса.

В твиттере появилось несколько публикаций, подтверждающих, что Google отключила использование клиента OAuth — открытого протокола авторизации, с помощью которого была проведена фишинговая атака. Однако это не дает гарантии того, что для кражи данных не будет использовано какое-либо другое приложение внутри системы.

Для того чтобы защититься от киберпреступников, пользователям нужно запомнить, что никому нельзя сообщать свою приватную информацию и давать доступ к личным аккаунтам. Компании, к которым относятся эти данные, никогда не запросят их у пользователя.