Veel Gmail-gebruikers wereldwijd zijn slachtoffer geworden van phishing door middel van een overtuigende nepmail met een link naar Google Docs. Wie klikte en inlogde, gaf een derde partij toegang tot zijn of haar e-mailaccount. Google heeft maatregelen genomen.
De phishingpoging was overtuigend doordat de e-mail gestuurd leek te zijn door een eigen contactpersoon en doordat deze oogde als een e-mail van Google Docs. Als gebruikers op de link klikten om het document te openen, moesten ze inloggen via Googles eigen OAuth. Gebruikers die dat deden, gaven 'Google Docs' volledige controle over hun e-mailaccount. In werkelijkheid was dat een third-partyapp die zich onder die naam voordeed en het Google Drive-logo gebruikte.
Enkele uren nadat veel gebruikers getroffen waren, kwam Gmail via Twitter met een mededeling. Omdat de phishingmail van OAuth gebruikmaakte, kon Google de inlogpagina blokkeren. Wie nu op de phishingmail klikt, wordt doorgestuurd naar een errorpagina. Ook heeft Google bij alle gebruikers die inlogden, de toestemming ingetrokken, zodat de kwaadwillende app niet langer toegang heeft tot de e-mailaccounts. Google verwijst getroffen gebruikers naar zijn Security Checkup-pagina.
Volgens Ars Technica is de phishingmail aanvankelijk aan een aantal verslaggevers verstuurd, waarna hij zich snel verspreidde. Omdat gebruikers volledige toegang tot hun e-mailaccount afgaven, kon de phishingmail zichzelf naar het volledige adressenboek van ieder slachtoffer doorsturen. Het is niet duidelijk wat de makers van de phishingmail verder hebben gedaan met de e-mailadressen. In principe hadden ze toegang tot alle e-mails en contactpersonen op de accounts van de getroffen gebruikers.
ArsTechnica's beschrijving van de phishingtechniek