Tai sukčiavimo schema, kad netgi daugiafunkcinis autentifikavimas ir slaptažodžio keitimas nebus išspręsti.

Trečiadienį didžiulis „Google“ dokumentų sukčiavimo išpuolis išplatino „Gmail“, užgrobdamas žmonių sąskaitas ir šlamštuodamas į aukų kontaktų sąrašus. „Google“ greitai nutraukė ataką, kuri paveikė apie 0, 1 proc. „Gmail“ naudotojų.

Net ir tokiu mažu skaičiumi, maždaug 1 milijardu „Gmail“ naudotojų, vis dar mažėja 1 mln. Žmonių. Ir tipiškas sukčiavimo aptikimo aptikimas, kurį „Gmail“ siūlo, negali blokuoti, nes užpuolimas net nereikėjo įvesti savo slaptažodžių.

Sukčiavimo sukčiavimas rėmėsi OAuth išnaudojimu. „OAuth“, kuris reiškia „Open Authorization“, leidžia programoms ir paslaugoms „kalbėti“ viena kitai, neprisijungęs prie savo paskyrų. Pagalvokite apie tai, kaip „Amazon“ „Alexa“ gali skaityti „Google“ kalendoriaus įvykius arba kaip „Facebook“ draugai gali matyti, kokią dainą klausotės „Spotify“. Per pastaruosius trejus metus, pagal „Cisco Cloudlock“, „OAuth“ naudojančios programos šoktelėjo nuo 5 500 iki 276 000.

„Dabar, kai ši technika yra plačiai žinoma, tai gali sukelti didelę problemą - yra tiek daug interneto paslaugų, kurios naudoja„ OAuth “, ir jiems sunku visiškai užregistruoti visas trečiųjų šalių programas, - sakė Greg Martin. Elektroninio saugumo įmonės „Jask“ vadovas.

Kaip „Google“ dokumentai buvo naudojami kitaip nei tipiniai sukčiavimo išpuoliai?

Tipiška sukčiavimo ataka yra tinklavietė, skirta apgauti jus įvedant slaptažodį, siunčiant slaptą informaciją vagims arba ją užregistravus duomenų bazėje.

Naudojant OAuth, kaip ir „Google“ dokumentų sukčiai, sąskaitos gali būti užgrobtos be vartotojo įvedimo. „Google“ dokumentų schemoje užpuolikas sukūrė suklastotą „Google“ dokumentų versiją ir paprašė leidimo skaityti, rašyti ir pasiekti nukentėjusiojo el. Laiškus.

Suteikdami OAuth leidimą, jūs veiksmingai suteikėte blogiems vaikams prieigą prie paskyros, nereikalaujant slaptažodžio.

Kodėl negaliu tiesiog pakeisti savo slaptažodžio?

„OAuth“ neveikia per slaptažodžius, veikia per leidimo žetonus. Jei slaptažodis yra raktas, užrakinantis jūsų sąskaitos duris, OAuth yra durų valdytojas, turintis raktus ir kuris apgaulingas, leisdamas kitiems žmonėms.

Jums reikės atšaukti leidimus išeiti įsibrovėlius.

Kodėl daugiafunkcinis autentifikavimas nustoja veikti OAuth?

Daugiafunkciniai autentifikavimo veiksmai paragina įvesti saugos kodą, kai bandote prisijungti per slaptažodį.

Vėlgi, šiame išnaudojime slaptažodžiai nėra įvedimo vieta. Taigi, kai įsilaužėliai naudoja „OAuth“ išnaudojimą, jiems nereikia įvesti slaptažodžio - nukentėjusysis nukrito duoti leidimą.

„Pati programa neprivalo turėti antrojo veiksnio, kai naudotojas suteikė leidimus“, - teigia „Cisco“ tyrimai.

Taigi, ką turėčiau daryti, jei sumažėjau kažką panašaus į „Gmail“ sukčiavimo sukčiavimą?

Laimei, pataisą lengviau valdyti, nei jei nukrito dėl standartinio sukčiavimo išnaudojimo. „Google“ atveju galite atšaukti leidimus apsilankę //myaccount.google.com/permissions. Jei suklastota programa yra uždaryta, kaip „Google“ padarė su „Google“ dokumentais, leidimas taip pat bus automatiškai atšauktas.

Kitoms paslaugoms, naudojančioms OAuth, tai gali būti ne taip paprasta. Dauguma paslaugų, kurios remiasi „OAuth“, turės puslapį, kuriame galėsite valdyti savo teises, pvz., „Twitter“ programų puslapyje. „Android 6.0“ įrenginiuose galite panaikinti „Application Manager“ teises jūsų nustatymuose.

Deja, yra šimtai tūkstančių programų, naudojančių „OAuth“, ir nepakanka laiko daugeliui žmonių rasti visus jų leidimų puslapius.

CNET Magazine: Išsiaiškinkite CNET naujienlaiškių leidinyje esančių istorijų pavyzdžius.

Tai sudėtinga: tai randasi programų amžiuje. Dar smagiai? Šie pasakojimai patenka į klausimo širdį.