Kaspersky Lab alerta para ataque de phishing OAuth no Google Docs
São Paulo, 08 de maio de 2017 – Com a intensa velocidade da Internet, não são apenas as formas de se relacionar que têm mudado, mas também as maneiras que os cibercriminos realizam seus golpes. Recentemente, eles têm utilizado um golpe de phishing usando a autenticação OAuth nos usuários de e-mail do Google: eles recebem mensagens-convites, em inglês, falsas para edição de documentos no Google Drive – uma isca para que os cibercriminosos consigam redirecioná-los para uma página falsa, em que poderão ter acesso às contas dos usuários como, contatos de e-mail, conteúdo do armazenamento de arquivos do Google Drive, entre outros.
A autenticação OAuth é usada especialmente por serviços online da chamada Web 2.0, ao fornecer APIs que podem ser usadas por terceiros para permitir acesso as contas de um usuário. Tal tecnologia é usada pelo Twitter, Facebook, Outlook e outros serviços muito populares, bastando para isso que o usuário permita o acesso de um web app a sua conta.
“Mais do que nunca, é preciso ter muito cuidado, pois uma vez que o usuário dá a permissão de acesso a sua conta, ele está permitindo que o cibercriminoso tenha acesso às suas informações e outros dados valiosos armazenados no e-mail, dando a esse criminoso acesso permanente a conta, mesmo que o usuário faça a troca da senha ou utilize soluções de dupla autenticação”, alerta Fábio Assolini, analista sênior de segurança da Kaspersky Lab.
De fato este não é o primeiro ataque de phishing usando web apps e a autenticação OAuth, ataques similares no passado já atingiram usuários do Hotmail e do Facebook, porém esse ataque aos usuários do Google foi o que teve maior alcance.
Segundo o Google, o web app malicioso já foi retirado do ar e deve parar de se alastrar pela rede. Mesmo assim, Assolini destaca alguns pontos importantes para quem sofreu esse tipo de ataque: “remova as permissões de apps desconhecidos que tem acesso ao perfil, altere as senhas de todos os seus serviços, ative a dupla-autenticação e verifique se todos os seus dispositivos possuem malware. Soluções de proteção de vírus e software antispam gratuitos devem ser instalados e atualizados, a fim de proteger contra mensagens maliciosas que podem ser enviadas ao seu computador”.
Além disso, o analista reforça que é possível prevenir o ataque seguindo apenas algumas dicas, como:
1. Não abra links e anexos em e-mails recebidos de terceiros, mesmo que pareçam pertencer a funcionários de organizações bem conhecidas. Se necessário, a fim de se certificar de que um e-mail realmente veio da organização que afirma, você deve verificar novamente que todos os links no e-mail são afiliados com a organização;
2. Não compartilhe detalhes de suas contas (logins e senhas) com sites duvidosos;
3. Regularmente (pelo menos uma vez por trimestre) altere suas senhas para e-mail e outros serviços on-line. Use senhas que sejam resistentes a tentativas de rebotes;
4. Ativar a autenticação de dois fatores em todos os lugares possíveis. A Google, em particular, fornece aos seus usuários essa facilidade.
Durante o monitoramento e análise, a Kaspersky Lab identificou alguns dos domínios de sites falsos utilizados para esse ataque: g-cloud.pro, docscloud.win, docscloud.download, docscloud.info, g-cloud.win, g-docs.pro, gdocs.download, gdocs.pro, docscloud.info, g-cloud.pro, g-docs.pro e também gdocs.pro, todos bloqueados em nossos produtos.
A autenticação OAuth é usada especialmente por serviços online da chamada Web 2.0, ao fornecer APIs que podem ser usadas por terceiros para permitir acesso as contas de um usuário. Tal tecnologia é usada pelo Twitter, Facebook, Outlook e outros serviços muito populares, bastando para isso que o usuário permita o acesso de um web app a sua conta.
“Mais do que nunca, é preciso ter muito cuidado, pois uma vez que o usuário dá a permissão de acesso a sua conta, ele está permitindo que o cibercriminoso tenha acesso às suas informações e outros dados valiosos armazenados no e-mail, dando a esse criminoso acesso permanente a conta, mesmo que o usuário faça a troca da senha ou utilize soluções de dupla autenticação”, alerta Fábio Assolini, analista sênior de segurança da Kaspersky Lab.
De fato este não é o primeiro ataque de phishing usando web apps e a autenticação OAuth, ataques similares no passado já atingiram usuários do Hotmail e do Facebook, porém esse ataque aos usuários do Google foi o que teve maior alcance.
Segundo o Google, o web app malicioso já foi retirado do ar e deve parar de se alastrar pela rede. Mesmo assim, Assolini destaca alguns pontos importantes para quem sofreu esse tipo de ataque: “remova as permissões de apps desconhecidos que tem acesso ao perfil, altere as senhas de todos os seus serviços, ative a dupla-autenticação e verifique se todos os seus dispositivos possuem malware. Soluções de proteção de vírus e software antispam gratuitos devem ser instalados e atualizados, a fim de proteger contra mensagens maliciosas que podem ser enviadas ao seu computador”.
Além disso, o analista reforça que é possível prevenir o ataque seguindo apenas algumas dicas, como:
1. Não abra links e anexos em e-mails recebidos de terceiros, mesmo que pareçam pertencer a funcionários de organizações bem conhecidas. Se necessário, a fim de se certificar de que um e-mail realmente veio da organização que afirma, você deve verificar novamente que todos os links no e-mail são afiliados com a organização;
2. Não compartilhe detalhes de suas contas (logins e senhas) com sites duvidosos;
3. Regularmente (pelo menos uma vez por trimestre) altere suas senhas para e-mail e outros serviços on-line. Use senhas que sejam resistentes a tentativas de rebotes;
4. Ativar a autenticação de dois fatores em todos os lugares possíveis. A Google, em particular, fornece aos seus usuários essa facilidade.
Durante o monitoramento e análise, a Kaspersky Lab identificou alguns dos domínios de sites falsos utilizados para esse ataque: g-cloud.pro, docscloud.win, docscloud.download, docscloud.info, g-cloud.win, g-docs.pro, gdocs.download, gdocs.pro, docscloud.info, g-cloud.pro, g-docs.pro e também gdocs.pro, todos bloqueados em nossos produtos.
Nenhum comentário