به گزارش شرکت مهندسی شبکه گستر، یک حمله هوشمندانه فیشینگ در روز گذشته (13 اردیبهشت) که بهسرعت در حال گسترش بود، بهمحض اطلاع یکی از کارشناسان شرکت گوگل، ظرف کمتر یک ساعت بیاثر شد.
بر اساس اطلاعات جمعآوری شده از منابع مختلف، اهداف اولیه این حمله، روزنامهنگاران، کسبوکارها و دانشگاهها بودهاند. اما در مدتی بسیار کوتاه، تعداد فراوانی از کاربران دیگر نیز هدف قرار گرفتند.
گردانندگان این حمله، روش اجرا را بهصورت هوشمندانهای طراحی کرده بودند. قربانی ایمیلی حقیقی – و نه جعلی – را از یکی از دوستانش دریافت میکند؛ در ایمیل از کاربر خواسته میشود تا بر روی دگمهای با عنوان Open in Docs بهمنظور دسترسی به یک سند Google Docs کلیک کند.
به گزارش شرکت مهندسی شبکه گستر، در صورتی که کاربر بر روی دگمه مذکور کلیک میکرد به یک صفحه واقعی انتخاب حساب کاربری گوگل هدایت میشد که در آن یک برنامه جعلی – و نه حقیقی – با عنوان Google Docs از کاربر درخواست دریافت مجوز دسترسی یافتن به اسناد به اشتراک گذاشته شده را میکرد. در حقیقت با این کار، برنامه جعلی به محتوای بخش Inbox ایمیل و فهرست Contact قربانی دست پیدا میکرد.
پس از دریافت مجوز دسترسی به این جزییات، برنامه جعلی فهرست Contact کاربر را کپی کرده و نسخهای از خود را – از سمت ایمیل قربانی – به افراد موجود در فهرست ارسال میکرد. در بخش To این ایمیلها نشانی hhhhhhhhhhhhhhhh@mailinator.
بدیهی است که با بهرهگیری از این روش خاص و حرفهای خودانتشاری، هر لحظه بر تعداد قربانیان افزوده میشد. چنین حملاتی یادآور انتشار کرم Samy در بستر MySpace در حدود یک دهه قبل هستند.
خوشبختانه، گزارش این حمله در یکی از تالارهای گفتگوی اینترنتی و اطلاع یک کارشناسان گوگل از این موضوع سبب گردید تا موضوع بهسرعت به افراد مرتبط در این شرکت ارجاع داده شده و پس از گذشت یک ساعت از اولین گزارش آلودگی برنامه مخرب مسدود شود.
پس از گذشت چند ساعت و با انجام بررسیهای بیشتر کارشناسان گوگل، اطلاعیه زیر صادر شد:
ما اقداماتی را برای حفاظت از کاربران در برابر ایمیلهایی که Google Docs را جعل میکنند در نظر گرفته و حسابهای کاربری خاطی را غیرفعال کردهایم. ما صفحات جعلی را حذف کرده و بهروز رسانی مربوطه را از طریق قابلیت Safe Browsing منتشر کردهایم. ضمن اینکه یکی از تیمهای ما در حال یافتن راهکاری بهمنظور جلوگیری از تکرار وقوع این اتفاقات است. به کاربران توصیه میکنیم که ایمیلهای فیشینگ را از طریق Gmail اعلام کنند.
خبر خوش اینکه، هیچ یک از منابع، گزارشی از توزیع بدافزار در جریان این حمله منتشر نکردهاند. کاربرانی که بر روی دگمه Open in Docs کلیک کردهاند میتوانند با مراجعه به https://myaccount.google.com/permissions دسترسی یافتن این برنامه مخرب به حساب کاربریشان را بررسی کنند. Google Docs واقعی در این بخش قرار ندارد؛ چرا که بهعنوان یکی از برنامههای مجاز نیازی به دریافت چنین مجوزی از کاربر ندارد.