Nelle scorse ore circa un milione di account Google sono stati presi di mira da un sofisticato attacco di phishing; Una falla ha permesso ai dei malintenzionati di creare una web app falsa chiamandola proprio Google Docs.
Tutto è iniziato con l’invio di una email, dall’indirizzo hhhhhhhhhhhhhhhh@mailinator.com, ad alcuni utenti Gmail dove all’interno c’era l’invito di condivisione di un documento su Google Docs. Layout e testo in descrizione erano apparentemente uguali a quelli utilizzati dalla stessa Google quando si prova a condividere un file con i propri contatti con il link che reindirizzava proprio alla omonima ma falsa Google Docs; Naturalmente anche la stringa di collegamento è stata camuffata a dovere per trarre in inganno, qui sotto sono riportati alcuni esempi:
- googledocs.docscloud.download
- googledocs.docscloud.info
- googledocs.docscloud.win
- googledocs.g-cloud.pro
- googledocs.g-cloud.win
- googledocs.g-docs.pro
- googledocs.g-docs.win
- googledocs.gdocs.download
- googledocs.gdocs.pro
- googledocs.gdocs.win
Questa app fasulla ha sfruttato l’interfaccia di autenticazione OAuth, protocollo utilizzato per le operazioni di login, andando a forzare i meccanismi di autenticazione e quindi facendo comparire, dopo numerosi tentativi in successione non visibili all’utente, la vera finestra di accesso a Google per confermare i permessi necessari per l’accesso ai vari dati sensibili (visione/gestione della posta, dei contatti e dei file su Google Drive).
Gli utenti ignari e poco attenti hanno di fatto consegnato tutto nelle mani dei pirati, esponendo anche i proprio conoscenti. Successivamente, infatti, l’email di spam veniva inviata con il proprio indirizzo Gmail a tutti i contatti presenti in rubrica e contribuendo quindi alla diffusione in modo ancora più credibile a macchia d’olio, dato che chi riceveva l’email conosceva il mittente.
La situazione ad ora è stata sanata dalla stessa Google con la finta app disabilitata insieme ai permessi rimossi per gli utenti tratti in inganno; anche i domini utilizzati non sono più raggiungibili.
Inoltre è stata rilasciata la nuova versione Gmail per dispositivi Android che introduce la funzionalità di protezione anti-phishing: gli utenti saranno avvisati in presenza di link sospetti all’interno delle email e avranno la possibilità di leggere per esteso l’url di destinazione. L’aggiornamento è già in fase di distribuzione nel Play Store, tuttavia potranno essere necessarie alcune ore affinché sia disponibile a tutti; Nessuna menzione, invece, per la controparte iOS.
