Η Google, πρόσφατα, σε μία εντελώς ασυνήθιστη κίνησή της, ανακοίνωσε μέσω Twitter την ύπαρξη ενός «συστήματος ηλεκτρονικού ψαρέματος» (phishing), το οποίο και στοχεύει τους λογαριασμούς gmail των χρηστών του οικοσυστήματός της. Ακολουθεί η (video) ανακοίνωση, αλλά και το επίμαχο tweet.

 

Αν και συνήθως τα μηνύματα που χρησιμοποιούν αυτή την «τεχνική» περιέχουν αρκετά ορθογραφικά και συντακτικά λάθη, στη συγκεκριμένη περίπτωση αυτό δεν συμβαίνει, τουλάχιστον στον ίδιο βαθμό. Το μήνυμα που λαμβάνουν οι χρήστες της υπηρεσίας gmail μοιάζει αυθεντικό και ως αποστολέας εμφανίζεται κάποια από τις αξιόπιστες επαφές τους.

Εφόσον τα μηνύματα εστάλησαν με χρήση της – κοινώς αποδεκτής – πιστοποίησης «OAuth» και είναι συνδεδεμένα με έγκυρους λογαριασμούς gmail, αυτά μοιάζουν (και από τεχνικής άποψης, είναι) αυθεντικά και οι χρήστες είναι πολύ εύκολο να παραπλανηθούν. Ακόμα και αν κάποιος αποφασίσει να ελέγξει το εισερχόμενο μήνυμα, δεν θα αντιληφθεί πως πρόκειται για απάτη.

Εάν οι παραλήπτες πατήσουν εντός του μηνύματος τον σύνδεσμο «Open in Docs», μεταφέρονται στο περιβάλλον πιστοποίησης OAuth (επαναλαμβάνουμε πως πρόκειται για ένα έγκυρο και αποδεκτό πρότυπο), κατά το οποίο τους ζητείται η άδεια να συνδέσουν τον Google λογαριασμό τους με μία (ψεύτικη) εφαρμογή, με την ονομασία… «Google Docs»! Αμέσως μετά, η εφαρμογή ζητά πρόσβαση στον gmail λογαριασμό του χρήστη και εάν αυτή δοθεί, αυτόματα αποστέλλει τον σύνδεσμο που οδηγεί προς αυτή, σε όλες τις επαφές του παραλήπτη του μηνύματος.

Και έτσι, αυτή η «νόμιμη ροή», συνεχίζεται, καθώς οι νέοι παραλήπτες λαμβάνουν μήνυμα από μία αξιόπιστη επαφή τους και είναι πολύ πιθανό να εξαπατηθούν, στέλνοντας με τη σειρά τους το μήνυμα αυτό στις δικές τους επαφές. Προφανέστατα λοιπόν και υπήρχε λόγος για την ασυνήθιστη αυτή ανακοίνωση της Google.

Ένα κακόβουλο λογισμικό, δεν είναι απαραίτητο να καταστρέφει μέρος των δεδομένων μας για να είναι επικίνδυνο. Στη συγκεκριμένη περίπτωση φροντίζει απλά να εγκατασταθεί σε όσους περισσότερους λογαριασμούς gmail μπορεί, αποκτώντας παράλληλα πλήρη δικαιώματα. Μετά, sky is the limit, για τους επιτιθέμενους φυσικά!

Τι μαθαίνουμε όμως από την περίπτωση αυτή;

  1. Η Google πρέπει άμεσα να εισάγει ένα αποτελεσματικό φιλτράρισμα επί της διαδικασίας της ονοματολογίας των εφαρμογών που κάνουν χρήση της πιστοποίησης OAuth. Είναι απαράδεκτο να επιτρέπουν την ονομασία μιας εφαρμογής ως «Google Docs», η οποία δεν προέρχεται από αυτούς, αλλά ζητά «δικαιώματα» επί των gmail λογαριασμών.
  2. Τα αυτοματοποιημένα συστήματα ασφαλείας δεν υπήρξαν αποτελεσματικά. Η Google κινήθηκε ταχύτατα, απενεργοποιώντας την εν λόγω εφαρμογή εντός ωρών, αλλά στο εξής περίεργες «συμπεριφορές» όπως η πλήρης πρόσβαση στις επαφές των χρηστών από μία εφαρμογή και η άμεση ομαδική αποστολή χιλιάδων μηνυμάτων ηλεκτρονικού ταχυδρομείου θα πρέπει να εντοπίζεται αυτόματα και άμεσα. Είναι κάτι που τεχνικώς, μπορεί να γίνει.
  3. Οι χρήστες (δηλαδή εμείς), δεν θα πρέπει να ανοίγουμε συνδέσμους που εμπεριέχονται σε μηνύματα ηλεκτρονικού ταχυδρομείου που δεν αναμέναμε. Κυρίως όμως, δεν πρέπει να δίνουμε πρόσβαση στον λογαριασμό μας σε εφαρμογές, οι οποίες μας «συστήθηκαν» μέσω ενός mail!

Η τεχνολογία έχει μπει για τα καλά στις ζωές μας. Όπως συμβαίνει στην πραγματική ζωή, έτσι και στη ψηφιακή, οι απατεώνες πάντα θα «βελτιώνονται» προκειμένου να αποσπάσουν αυτό που τελικά θέλουν. Δεν θα πρέπει να φοβόμαστε, απλά, θα πρέπει να είμαστε προσεκτικοί, όπως ακριβώς δηλαδή θα κάναμε και στην πραγματική, μη ψηφιακή ζωή μας.

 

ΣΧΟΛΙΑ