Warum der Betrug bei Google Docs eine andere Art von Phishing war

Es ist ein Phishing-Schema, das auch die Authentifizierung mit mehreren Faktoren und das Ändern Ihres Kennworts nicht beheben kann.

Am Mittwoch breitete sich ein gewaltiger Phishing-Angriff von Google Docs auf Gmail aus, entführte die Konten von Personen und spammte sich in die Kontaktlisten der Opfer ein. Google hat den Angriff schnell beendet, von dem etwa 0, 1 Prozent der Google Mail-Nutzer betroffen waren.

Selbst bei dieser geringen Anzahl von rund 1 Milliarde Google Mail-Nutzern sind immer noch mindestens 1 Million Menschen gefährdet. Die typische Phishing-Erkennung, die Gmail anbietet, konnte sie nicht blockieren, da der Angriff nicht einmal Opfer brauchte, um ihre Passwörter einzugeben.

Der Phishing-Betrug stützte sich auf die Ausbeutung von OAuth, ein seltenes System, das sich am Mittwoch der Welt zeigte. OAuth (Open Authorization) bedeutet, dass Apps und Dienste miteinander kommunizieren können, ohne sich bei Ihren Konten anmelden zu müssen. Überlegen Sie, wie Ihr Amazon Alexa Ihre Google Calendar-Ereignisse ablesen kann oder wie Ihre Facebook-Freunde sehen können, welchen Titel Sie auf Spotify hören. In den letzten drei Jahren sind OAuth-Anwendungen laut Cisco Cloudlock von 5.500 auf 276.000 gestiegen.

"Nun, da diese Technik weithin bekannt ist, stellt sie wahrscheinlich ein erhebliches Problem dar. Es gibt so viele Onlinedienste, die OAuth verwenden, und es ist schwierig für sie, alle Anwendungen von Drittanbietern vollständig zu überprüfen", sagte Greg Martin. CEO der Cybersecurity-Firma Jask in einer E-Mail.

Inwiefern unterschieden sich Google Docs von typischen Phishing-Angriffen?

Ein typischer Phishing-Angriff bevölkert eine Website, die Sie dazu bringen soll, Ihr Kennwort einzugeben, vertrauliche Informationen an den Dieb zu senden oder in einer Datenbank zu protokollieren.

Mit OAuth-Exploits, wie im Fall von Google Docs-Betrug, können Konten entführt werden, ohne dass der Benutzer etwas eingibt. Im Google Docs-Schema erstellte der Angreifer eine gefälschte Version von Google Docs und bat um die Erlaubnis, die E-Mails des Opfers zu lesen, zu schreiben und darauf zuzugreifen.

Durch die Erteilung der OAuth-Exploitberechtigung haben Sie den Bösewichten effektiv Zugriff auf Ihr Konto gewährt, ohne ein Kennwort zu benötigen.

Warum kann ich mein Passwort nicht einfach ändern?

OAuth funktioniert nicht mit Passwörtern, es funktioniert mit Berechtigungs-Token. Wenn ein Kennwort ein Schlüssel zum Sperren der Türen Ihres Kontos ist, ist OAuth ein Türsteher, der die Schlüssel besitzt und dazu verleitet wird, andere Personen hereinzulassen.

Sie müssen die Berechtigungen widerrufen, um die Eindringlinge auszuschalten.

Warum stoppt die Authentifizierung mit mehreren Faktoren OAuth nicht?

Bei der Authentifizierung mit mehreren Faktoren werden Sie aufgefordert, einen Sicherheitscode einzugeben, wenn Sie versuchen, sich über ein Kennwort anzumelden.

Auch in diesem Exploit sind Passwörter nicht der Einstiegspunkt. Wenn also Hacker OAuth-Exploits verwenden, müssen sie kein Kennwort eingeben. Das Opfer hat sich dazu verleitet, die Erlaubnis zu erteilen.

"Die Anwendungen selbst müssen keinen zweiten Faktor haben, sobald der Benutzer Berechtigungen erteilt hat", so die Untersuchung von Cisco.

Was soll ich also tun, wenn ich mich auf etwas wie den Gmail-Phishing-Betrug verlasse?

Glücklicherweise ist das Update einfacher zu handhaben, als wenn Sie von einem Standard-Phishing-Angriff betroffen wären. In dem Fall von Google können Sie die Berechtigungen widerrufen, indem Sie zu //myaccount.google.com/permissions wechseln. Wenn die gefälschte App heruntergefahren wird, wie Google es mit dem Scherz von Google Docs getan hat, wird die Berechtigung auch automatisch widerrufen.

Für andere Dienste, die OAuth verwenden, ist dies möglicherweise nicht so einfach. Die meisten Dienste, die auf OAuth angewiesen sind, verfügen über eine Seite, auf der Sie Ihre Berechtigungen verwalten können, z. B. die Seite "Anwendungen" von Twitter. Auf Android 6.0-Geräten können Sie in Ihren Einstellungen Berechtigungen für Application Manager widerrufen.

Leider gibt es Hunderttausende von Apps, die OAuth verwenden, und für die meisten Benutzer ist nicht genug Zeit, um alle Berechtigungsseiten für sie zu finden.

CNET Magazine: Schauen Sie sich eine Auswahl der Geschichten an, die Sie in der Kiosk-Edition von CNET finden.

Es ist kompliziert: Dies ist im Zeitalter von Apps. Noch Spaß haben? Diese Geschichten bringen die Sache auf den Punkt.

Beliebte Beiträge

So löschen Sie Ihr Facebook-Suchprotokoll

So senden Sie Geld an Freunde über Facebook

Apple HomePod: 3 Einstellungen zum sofortigen Ändern

So installieren Sie die iOS 6-Entwicklervorschau auf Apple TV

Finden Sie die Amazon-Wunschliste von jemandem über seine E-Mail-Adresse

Was Sie über GPS und die Apple Watch Series 2 wissen müssen

 

Lassen Sie Ihren Kommentar