查看: 967 | 回覆: 4 | 電梯直達

騎士 | 2017-5-5 12:47:03

1樓

(源自: ITHome) (延伸閱讀: Bleeping Computer)

文/林妍溱 | 2017-05-04發表

受害者會收到來自「友人」送來的Gmail郵件，要求編輯Google Docs文件，若點選文件中開啟Docs的連結，就會要求登入Google帳號，並要求授權Google Docs存取Gmail，並轉發網釣郵件給受害者的聯絡人。

如果最近有人以電子郵件邀請你編輯文件，千萬要小心。昨天下午起，Google Docs網釣攻擊在網路上迅速蔓延開來，以騙取用戶登入帳密，同時成為發送網釣的幫兇。所幸Google迅速掙取措施化解了一場網路危機。

根據用戶在Reddit分享的經驗，受害者會接到看似友人傳來Google Docs要求編輯文件的Gmail電子郵件，仔細一看，這封信同時還BCC其他人。等用戶按下郵件中「在Docs中開啟文件」的連結，就跳出真實的Google登入對話框，要求用戶在數個Google帳號中選擇以其中一個帳號進入Docs，同時有另一個Google OAuth核準頁面，要求用戶授權「Google Docs」存取Gmail帳號，包括寄發、刪改電子郵件，以及讀取他聯絡人資料的權利。

用戶按下「允許」後，才會發現有個不知名的電子郵件擁用者（而非Google）已經獲得了受害者的Docs存取權。而且這封網釣郵件，也同樣經由受害者Gmail帳號發送給其他聯絡人。

多家國際媒體報導，這透過社交工程的網釣郵件攻擊，昨日已經迅速在網路快速蔓延。Ars Technica分析，這樁網釣攻擊是利用OAuth驗證介面，許多Web服務也使用這個介面，讓用戶在登入時不必輸入密碼。透過OAuth介面的運用，攻擊者成功繞過任何雙因素驗證，即取得讀取、修改或刪除用戶帳號下內容的權利。

所幸Google立即採取處置。Google在推特上表示已經注意到Google Docs網釣攻擊，並且立即移除了偽造的Google Docs及所有相關網頁，更新Safe Browsing的威脅偵測功能，並關閉OAuth用戶端的功能。

Google及安全專家呼籲，用戶應提高警覺，不要隨便開啟可疑郵件，尤其是大量BCC的郵件，並應開啟多因素驗證，提高駭客存取帳號的困難，同時立即變更密碼。萬一不小心點入，可以到Google存取控管頁面取消外部人存取Google Docs的權利。