Това е фишинг схема, която дори и многофакторното удостоверяване и промяната на паролата ви няма да поправят.

В сряда масовата фишинг атака в Google Документи се разпространи в Gmail, откраднат сметките на хората и се разпространи в списъците с контакти на жертвите. Google бързо изключи атаката, която засегна около 0.1% от потребителите на Gmail.

Дори при толкова малък брой, с около 1 милиард потребители на Gmail, това е все още най-малко 1 милион души, които са компрометирани. А типичното фишинг откритие, което Gmail предлага, не може да го блокира, защото атаката дори не се нуждаеше от жертви да въвеждат своите пароли.

Фишингът се опира на експлоатацията на OAuth, рядка схема, която се изложи на света в сряда. OAuth, което означава Отворено оторизиране, позволява на приложения и услуги "да говорят" помежду си, без да влизат в профилите ви. Помислете как Вашата Амазонка Алекса може да прочете вашите Google Календар събития, или как вашите приятели във Facebook могат да видят каква песен слушате в Spotify. През последните три години, приложенията, които използват OAuth, скочиха от 5 500 на 276 000, според Cisco Cloudlock.

"Сега, когато тази техника е широко известна, вероятно ще създаде значителен проблем - има толкова много онлайн услуги, които използват OAuth и им е трудно да проверят напълно всички приложения на трети страни", казва Грег Мартин, Главен изпълнителен директор на фирма за киберсигурност Jask, в имейл.

Как се експлоатираше Google Документи в сравнение с обичайните фишинг атаки?

Типична фишинг атака популяризира уебсайт, който има за цел да ви подмами да въвеждате паролата си, да изпращате поверителна информация на крадеца или да го регистрирате в база данни.

С експлоатацията на OAuth, както в случая с измамите на Google Docs, акаунтите могат да бъдат откраднати, без потребителят да пише нищо. В схемата на Google Документи нападателят създаде фалшива версия на Google Документи и поиска разрешение да чете, пише и получава достъп до имейлите на жертвата.

С предоставянето на разрешението за експлоатация на OAuth, вие ефективно давате на лошите достъп до профила Ви, без да се нуждаете от парола.

Защо не мога просто да променя паролата си?

OAuth не работи чрез пароли, работи чрез токени за разрешение. Ако паролата е ключ, заключващ вратите на профила ви, OAuth е портиер, който има ключовете и който се подвежда да пусне други хора.

Трябва да отмените разрешенията, за да изхвърлите нарушителите.

Защо многофакторното удостоверяване не спира използването на OAuth?

Мултифакторните удостоверения работят, като ви подканят да въведете код за защита, когато се опитате да влезете чрез парола.

Отново, в този експлойт, паролите не са входна точка. Така че, когато хакерите използват OAuth подвизи, не е необходимо да въвеждат парола - жертвата е била дублирана за даване на разрешение вече.

"Самите приложения не са задължени да имат втори фактор, след като потребителят е предоставил разрешения", според проучването на Cisco.

И така, какво трябва да направя, ако падна за нещо като измама с фалшинг в Gmail?

За щастие поправянето е по-лесно, отколкото ако сте се справили със стандартен фишинг експлойт. В случая с Google можете да анулирате разрешенията, като отидете на //myaccount.google.com/permissions. Ако фалшивото приложение е затворено, както Google направи с измамата Google Docs, разрешението също ще бъде автоматично отменено.

За други услуги, използващи OAuth, може да не е толкова просто. Повечето услуги, които разчитат на OAuth, ще имат страница, на която можете да управлявате разрешенията си, като страницата за приложения на Twitter. На устройства с Android 6.0 можете да анулирате разрешенията в Мениджъра на приложения в настройките си.

За съжаление има стотици хиляди приложения, които използват OAuth, и не са достатъчно време за повечето хора да намерят всички страници с разрешения за тях.

CNET Magazine: Вижте извадка от историите, които ще намерите в изданието на вестникарския щанд на CNET.

Това е сложно: Това е датиране във възрастта на приложенията. Вече се забавлявате? Тези истории стигат до същността на въпроса.