Gmail drošības caurums var izraisīt kontu masveida ievākšanu

Paņēmienu, ko mārketinga speciālisti izmanto, lai pievilinātu cilvēkus reģistrēties bezmaksas preču saņemšanai, var viegli izmantot kā dzinēju, lai iegūtu neizsakāmi daudz Google kontu paroļu. Problēmas novēršana uzņēmumam Google nebūs mazsvarīga, jo šī izmantošana ir būtiska tam, kā Google ļauj lietotājiem atgūt piekļuvi saviem kontiem, ja viņi pazaudē vai aizmirst paroles.





Google konta atkopšanas procedūra var padarīt lietotājiem neskaidru, ka viņi hakeriem piešķir pilnu piekļuvi savam kontam

Lai gan citi ir ziņojuši par šo izmantošanu, ko izmanto atsevišķi hakeri, es uzskatu, ka tas, ko jūs tagad lasāt, ir pirmais stāsts par to, kā to varētu pārveidot par masveida pikšķerēšanas krāpniecību, kas varētu aizraut pat salīdzinoši sarežģītus lietotājus.

The Hack



Nesen mēs abi ar sievu vienas stundas laikā saņēmām šādu tekstu:

Jūsu ieraksts pagājušajā mēnesī ir UZVARĒTS! Iet uz http://xxxxxx ievadiet savu laimētāja kodu: 1122, lai saņemtu BEZMAKSAS USD 1000 Best Buy dāvanu karti!

Mūsu tālruņu numuri ir gandrīz identiski, tāpēc fakts, ka mēs abi saņēmām šo īsziņu īsā laika posmā, liecina, ka kāds to automātiski sūta uz katru numuru noteiktā diapazonā vienu pēc otra. Tas padarītu to par klasisku teksta surogātpastu, kaitinošu, bet ne bīstamu.



Tekstā ietvertais URL novirza uz šo vietni, http://bestbuy.bestgiftcardsforu.com/ kurā tiek prasīta jūsu e-pasta adrese. Šķiet, ka vietne ir saistīta ar (vai vismaz ir saite uz un tekstu aizņemas no) MyRewardsClub.com . Es nedomāju, ka šie cilvēki ir hakeri, tikai tirgotāji.

Taču lūk, kā hakeri var pārvērst šo mārketinga shēmu par paroles iegūšanas shēmu: kad lietotāji ir ievadījuši savu e-pasta adresi, ja tā ir Gmail adrese, hakeri var automātiski pieprasīt, lai Google nosūtītu konta verifikācijas kodu uz šī Gmail īpašnieka mobilo tālruni. adrese. Tā rīkojas Google, kad paziņojat, ka esat aizmirsis paroli. Viena no trim iespējām tās atkopšanai ir verifikācijas koda nosūtīšana uz mobilā tālruņa numuru, kas saistīts ar jūsu kontu.

Lai lietotājs varētu pieprasīt savu atlīdzību (šajā gadījumā viltotu dāvanu karti 1000 ASV dolāru vērtībā), vietne var likt viņam ievadīt verifikācijas kodu, ko Google nosūtīja uz lietotāja tālruni. Tiklīdz vietnei ir gan lietotāja Gmail adrese, gan verifikācijas kods, spēle ir beigusies — hakeri var izmantot kodu, lai pieteiktos šajā kontā un nekavējoties mainītu paroli, dodot viņiem piekļuvi un bloķējot lietotāja piekļuvi savam kontam.



Citi The Hack piemēri

Šķiet, ka šis izmantojums ir tieši veids, kā hakeris ieguva piekļuvi vairākiem kontiem, iegūstot attēlus vietnei Is Anyone Up, kā aprakstījis Kamila Dodero iekšā nesenā Village Voice funkcija :

Vai tiešām ir tik vienkārši uzlauzt Gmail kontu? Skatieties pats: atveriet Gmail pieteikšanās ekrānu un noklikšķiniet uz bieži ignorētās saites zem pierakstīšanās izvēlnes, vai nevarat piekļūt savam kontam? Parādās trīs iespējas; izvēlieties Es aizmirsu savu paroli. Ievadiet Gmail adresi — jebkuru aktīvo Gmail adresi — un, ja ar kontu ir saistīts tālruņa numurs, jums tiek piedāvātas vēl trīs iespējas, no kurām viena ir Saņemt verifikācijas kodu manā tālrunī. Jums pat nav jāzina tālruņa numurs. Vienkārši nospiediet Turpināt, un tekstā uz konta īpašnieka tālruni tiks parādīts nesaistīts sešciparu kods. Ievadiet šo verifikācijas kodu — numuru, ko viegli iegūst maskēts e-krāpnieks — un esat gatavs. Pirmā lieta, kas jums tiek prasīts, ir nekavējoties nomainīt paroli, tādējādi bloķējot sākotnējo īpašnieku.



Citiem vārdiem sakot, ja hakeris zina tikai jūsu Gmail adresi un var izdomāt, kā piekļūt jūsu tālrunim, viņš jau ir iekļuvis jūsu sūdā.

Ja hakeris vāc attēlus vietnei Is Anyone Up, šķiet, ka viņš vai viņa tērzēja ar mērķiem, izmantojot Facebook.

Aizvien izplatītāka pikšķerēšanas shēma

Šo uzbrukumu ir izmantojuši citi, un tas var būt plaši izplatīts. Lokešs Sings , profesionāls hakeris, vietnē HackingLoops apraksta, kā viens no viņa klientiem kļuva par šī paša uzlaušanas upuri , tikai uzbrucējs izmantoja Gchat, lai pārliecinātu upuri nodot verifikācijas kodu, ko Google viņam bija nosūtījusi īsziņu.

Citiem vārdiem sakot, Google un tās lietotāji saskaras ar pikšķerēšanas shēmu, kas, šķiet, darbojas pat salīdzinoši sarežģītiem lietotājiem vai vismaz tādiem lietotājiem, kuri ir pietiekami gudri, lai neklikšķinātu uz nejaušām saitēm surogātpasta e-pastos. Bet tas, ko es aprakstīju šī raksta sākumā, potenciāli paceļ šo uzbrukumu pilnīgi jaunā līmenī, kas pārsniedz darbietilpīgu individuālo kontu uzlaušanu un automatizētas, liela mēroga paroļu iegūšanas jomā.

Ir lieliski, ka Google piedāvā lietotājiem iespēju atgūt piekļuvi saviem Gmail kontiem, kas ir balstīti uz sekundāru ierīci, kurai hakeriem gandrīz nekad nav piekļuves — lietotāja mobilā tālruņa. Vājais posms, kā vienmēr, ir cilvēks, kuram jau ir pieejami visi it kā drošie saskares punkti – pats lietotājs. Iespējams, šo uzbrukumu var apturēt, vienkārši palielinot izpratni par to, ka nevienam nekad, nekad nevajadzētu nodot savu Google verifikācijas kodu .

paslēpties