هجوم التصيد الاحتيالي لمُحرر مستندات Google يبرز مخاطر الأمان في OAuth

2024

Ø§Ù„Ø¬Ù…ÙŠØ¹ ÙŠØ¨ØØ« Ø¹Ù† Ù‡Ø°Ù‡ Ø§Ù„Ø£ØºÙ†ÙŠØ© Ø§Ù„Ø±ÙˆØ³ÙŠØ©Ø¹Ù†Ø§Ù‚ Ø§Ù„Ù…ÙˆØª la cÃ¢lin Ù…Ø

أوقفت Google مخطط التصيد الاحتيالي الذكي للبريد الإلكتروني يوم الأربعاء ، ولكن الهجوم قد يعود بشكل جيد جدًا.

لقد نجح أحد باحثي الأمان في تكرار ذلك ، حتى في الوقت الذي تحاول فيه Google حماية المستخدمين من مثل هذه الهجمات.

يقول مات أوستن ، مدير الأبحاث الأمنية في Contrast Security.

[اقرأ المزيد: كيف تقوم بإزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام Windows لديك]

مخطط التصيد الاحتيالي - الذي ربما يكون قد تم تعميمه إلى مليون شخص. يعد مستخدمو Gmail فعالين بشكل خاص لأنه يخدع المستخدمين باستخدام تطبيق وهمي يشبه محرر مستندات Google.

تمت دعوة المستلمين الذين تلقوا البريد الإلكتروني للنقر على مربع أزرق كتب عليه "فتح في المستندات". googl الفعلي صفحة الحساب الإلكترونية التي تطالبهم بتسليم وصول Gmail إلى التطبيق الوهمي.

في حين أن خداع المستخدمين برسائل البريد الإلكتروني المنتحلة ليس شيئًا جديدًا ، إلا أن هجوم الأربعاء شمل تطبيقًا فعليًا تابعًا لجهة خارجية تم إنشاؤه باستخدام عمليات Google الحقيقية. يمكن لمنصة مطور الشركة تمكين أي شخص من إنشاء تطبيقات قائمة على الويب.

في هذه الحالة ، اختار الجاني تسمية التطبيق "محرّر مستندات Google" في محاولة لخداع المستخدمين.

لقد أغلقت شركة البحث الهجوم عن طريق إزالة التطبيق. كما تم منع المطورين الآخرين من استخدام "Google" في تسمية تطبيقات الجهات الخارجية.

ومع ذلك ، وجد أوستن أنه لا يزال بإمكانه إعادة إنتاج مخطط التصيد الاحتيالي. قام بذلك ، باستخدام منصة مطوري شركة البحث لإنشاء تطبيق خاص به من جهة خارجية ، وأطلق عليه أيضًا "محرّر مستندات Google."

مايكل كان

باحث الأمان مات أوستن قام بتكرار هجوم التصيد يوم الأربعاء باستخدام نص السيريلية.

الاختلاف الوحيد هو أن أوستن استخدم شخصية سيريلية ، مستخدمة في روسيا ، للحرف "o" في اسم التطبيق الخاص به.

"تبدو الرسالة السيريلية تمامًا مثل الحرف الآخر o" ، على حد قول أوستن. ثم قام بتكرار ما تبقى من هجوم الأربعاء ، مما أدى إلى إنشاء بريد إلكتروني مزيف يستخدم نفس واجهة التصميم.

أوستن أرسل مشكلة الأمان إلى Google ، والآن لم يعد نظام المطوِّر التابع له يقبل التطبيقات التي تحمل هذا الاسم. ومع ذلك ، يتنبأ هو وخبراء أمنيون آخرون بأن الجهات الفاعلة السيئة تعمل أيضا على تكرار هجوم الأربعاء.

"ليس هناك شك في أن هذا سوف يتكرر مرة أخرى" ، قال أيسي كايا ، وهو مدير في شركة Cisco Cloudlock Cyberlabs ، وهي شركة أمنية. "من المحتمل أن يحدث ذلك في كثير من الأحيان."

يمكن أن تحدث المزيد من مخططات البريد الإلكتروني التصيدية التقليدية عن طريق خداع المستخدمين للتخلي عن بيانات اعتماد تسجيل الدخول. ومع ذلك ، يتخذ هجوم الأربعاء منهجًا مختلفًا ويسيء استخدام ما يعرف باسم بروتوكول OAuth ، وهي طريقة ملائمة لحسابات الإنترنت لربطها بتطبيقات الجهات الخارجية.

من خلال OAuth ، لا يضطر المستخدمون إلى تسليم أي معلومات كلمة مرور. وبدلاً من ذلك ، يمنحون إذنًا حتى يتمكن تطبيق تابع لجهة خارجية من الاتصال بحسابهم على الإنترنت ، على سبيل المثال ، Google أو Facebook أو Twitter.

ولكن مثل أي تقنية ، يمكن استغلال OAuth. وبالعودة إلى عام 2011 ، حذر أحد المطورين من إمكانية استخدام البروتوكول في هجوم تصيدي باستخدام تطبيقات تنتحل هوية خدمات Google.

ومع ذلك ، أصبح بروتوكول OAuth معيارًا شائعًا يستخدم عبر تقنية المعلومات. وجد CloudLock أن أكثر من 276000 تطبيق يستخدم البروتوكول من خلال خدمات مثل Google و Facebook و Microsoft Office 365.

ما ساعده مخطط التصيد الاحتيالي يوم الأربعاء هو أن خدمات Google الخاصة لم تفعل ما يكفي للإشارة إلى أنها جاءت من مطور مشبوه ، آرون باريكي ، وهو مستشار تكنولوجيا معلومات يساعد الشركات على تنفيذ OAuth.

على سبيل المثال ، تم تسجيل تطبيق Google Docs الوهمي لمطور في [email protected] علامة حمراء على أن المنتج لم يكن حقيقيًا.

على الرغم من ذلك ، تمكن التطبيق الوهمي من خداع المستخدمين لأن صفحة إذن حساب Google الخاصة لم تدرج معلومات مطور البرامج بوضوح مطلقًا ، ما لم ينقر المستخدم على الصفحة لتكتشف ذلك ، على حد قول باريكي.

Cloudlock

يظهر مطوّر البرامج الذي يحتوي على تطبيق مستندات Google الوهمي فقط في حالة تعذُّر مؤشر الماوس فوق المنتج.
"لقد فوجئت جوجل لم تظهر الكثير من المعلومات التعريفية مع هذه التطبيقات ،" قال. "إنه مثال رائع لما يمكن أن يحدث بشكل خاطئ."

وبدلاً من إخفاء هذه التفاصيل ، يجب أن تظهر جميعًا للمستخدمين ، على حد قول باريكي.

وافق Austin ، وقال إن التطبيقات التي تطلب الحصول على إذن إلى Gmail يجب أن تتضمن تحذيرًا أكثر وضوحًا بشأن ما يسلّمه المستخدم.

"لست على عربة OAuth للكراهية حتى الآن. أنا أراها قيمة ، "قال أوستن. "لكن هناك بعض المخاطر بها."

لحسن الحظ ، تمكنت Google من إحباط الهجوم الذي وقع يوم الأربعاء بسرعة ، وبدأت في تقديم "أنظمة مكافحة إساءة الاستخدام" لمنع حدوثه مرة أخرى. يمكن للمستخدمين الذين تأثروا بإجراء فحص أمان Google لمراجعة التطبيقات المتصلة بحساباتهم.

يعمل تطبيق Gmail على Android التابع لـ Google أيضًا على تقديم ميزة أمان جديدة لتحذير المستخدمين من محاولات التصيّد المحتملة.

من المغري تثبيت التطبيقات وتفترض أنها آمنة. ولكن يتعين على المستخدمين والشركات توخي الحذر عند ربط الحسابات بتطبيقات الطرف الثالث ، التي قد تطلب المزيد من الوصول أكثر مما تحتاج ، حسبما قال كايا كلاودلوك.

"المتسللون لديهم بداية قوية تستغل هذا الهجوم" ، قالت. "يجب على جميع الشركات التفكير في هذا الأمر."

في ما يلي كيفية خداع هجوم التصيد الاحتيالي على Gmail من خلال استخدام تطبيق مزيف لمحرر مستندات Google

تم سحب مستندات Google إلى ملف مخادع هجوم التصيد الاحتيالي عبر البريد الإلكتروني يوم الثلاثاء والذي تم تصميمه لخداع المستخدمين للتخلي عن الوصول إلى حسابات Gmail.

هجوم التصيد الاحتيالي لمُحرر مستندات Google يبرز مخاطر الأمان في OAuth

لقد أوقفت Google مخطط التصيد الإلكتروني الذكي في يوم الأربعاء ، ولكن قد يؤدي الهجوم إلى العودة بشكل جيد.