Pourquoi l'escroquerie de Google Docs était un type de phishing différent

C'est un schéma de phishing que même l'authentification multifactorielle et la modification de votre mot de passe ne résoudront pas.

Mercredi, une attaque par phishing massive dans Google Docs s'est répandue sur Gmail, détournant les comptes des internautes et se diffusant sur les listes de contacts des victimes. Google a rapidement mis fin à l'attaque, qui a touché environ 0, 1% des utilisateurs de Gmail.

Même avec ce faible nombre, avec environ 1 milliard d'utilisateurs Gmail, au moins 1 million de personnes sont toujours compromises. Et la détection de phishing typique offerte par Gmail ne pouvait pas la bloquer car l'attaque n'avait même pas besoin de victimes pour taper leurs mots de passe.

L'escroquerie de phishing s'appuie sur l'exploitation d'OAuth, un schéma rare qui s'est exposé au monde entier mercredi. OAuth, qui signifie Open Authorization, permet aux applications et aux services de se "parler" sans se connecter à vos comptes. Pensez à la façon dont votre Amazon Alexa peut lire vos événements Google Agenda ou à vos amis Facebook pour voir quelle chanson vous écoutez sur Spotify. Au cours des trois dernières années, les applications utilisant OAuth sont passées de 5 500 à 276 000, selon Cisco Cloudlock.

"Maintenant que cette technique est largement connue, elle posera probablement un problème important: de nombreux services en ligne utilisent OAuth et il leur est difficile de contrôler toutes les applications tierces existantes", a déclaré Greg Martin. PDG de la firme de cybersécurité Jask, dans un courrier électronique.

En quoi l'exploitation de Google Documents était-elle différente des attaques de phishing classiques?

Une attaque d'hameçonnage typique alimente un site Web destiné à vous inciter à saisir votre mot de passe, à envoyer des informations sensibles au voleur ou à le consigner dans une base de données.

Avec les exploits OAuth, comme dans le cas de l’escroquerie Google Docs, les comptes peuvent être piratés sans que l’utilisateur n’entre quoi que ce soit. Dans le schéma Google Docs, l'attaquant a créé une fausse version de Google Docs et a demandé la permission de lire, écrire et accéder aux courriels de la victime.

En accordant l’autorisation d’exploitation OAuth, vous avez effectivement permis aux malfaiteurs d’accéder à votre compte sans mot de passe.

Pourquoi ne puis-je pas changer mon mot de passe?

OAuth ne fonctionne pas avec les mots de passe, mais avec les jetons d'autorisation. Si un mot de passe est une clé fermant la porte de votre compte, OAuth est un portier qui a les clés et qui se laisse piéger pour laisser entrer d'autres personnes.

Vous devez révoquer les autorisations pour expulser les intrus.

Pourquoi l'authentification multifactorielle n'arrête-t-elle pas les exploits OAuth?

Les authentifications multifactorielles fonctionnent en vous invitant à entrer un code de sécurité lorsque vous essayez de vous connecter avec un mot de passe.

Encore une fois, dans cet exploit, les mots de passe ne sont pas le point d'entrée. Ainsi, lorsque les pirates informatiques utilisent des exploits OAuth, ils n'ont pas besoin de saisir de mot de passe - la victime a dupé en lui donnant l'autorisation de le faire.

"Les applications elles-mêmes ne sont pas obligées d'avoir un deuxième facteur une fois que l'utilisateur a accordé les autorisations", selon les recherches de Cisco.

Alors, que dois-je faire si je tombe amoureux de l'escroquerie par hameçonnage de Gmail?

Heureusement, le correctif est plus facile à gérer que si vous craquiez pour un exploit de phishing standard. Dans le cas de Google, vous pouvez révoquer les autorisations en accédant à http://myaccount.google.com/permissions. Si la fausse application est fermée, comme Google l'a fait avec le canular Google Docs, l'autorisation sera également automatiquement révoquée.

Pour d'autres services utilisant OAuth, la tâche peut ne pas être aussi simple. La plupart des services qui reposent sur OAuth auront une page sur laquelle vous pourrez gérer vos autorisations, comme la page Applications de Twitter. Sur les appareils Android 6.0, vous pouvez révoquer les autorisations sur le gestionnaire d'applications dans vos paramètres.

Malheureusement, des centaines de milliers d'applications utilisent OAuth et le temps imparti à la plupart des utilisateurs pour trouver toutes les pages d'autorisations les concernant.

CNET Magazine: Découvrez un échantillon des articles que vous trouverez dans l'édition en kiosque de CNET.

C'est compliqué: c'est datant à l'ère des applications. S'amuser encore? Ces histoires vont au fond des choses.

Articles Populaires

Meilleur fonctionnement à une main et autres mises à jour pour Chrome pour iOS

Black Friday contre Cyber ​​Monday: quelle est la différence?

Comment faire des appels Skype dans un navigateur

Calculateur d'impôt 2019 vs 2018: voyez comment votre compte d'impôt changera

7 raisons pour lesquelles les gens ne portent pas leur Apple Watch

Google Search sur Android, iOS vous aide à aller de l'avant

 

Laissez Vos Commentaires