Google neemt maatregelen nadat phishing veel Gmail-gebruikers treft

Veel Gmail-gebruikers wereldwijd zijn slachtoffer geworden van phishing door middel van een overtuigende nepmail met een link naar Google Docs. Wie klikte en inlogde, gaf een derde partij toegang tot zijn of haar e-mailaccount. Google heeft maatregelen genomen.

De phishingpoging was overtuigend doordat de e-mail gestuurd leek te zijn door een eigen contactpersoon en doordat deze oogde als een e-mail van Google Docs. Als gebruikers op de link klikten om het document te openen, moesten ze inloggen via Googles eigen OAuth. Gebruikers die dat deden, gaven 'Google Docs' volledige controle over hun e-mailaccount. In werkelijkheid was dat een third-partyapp die zich onder die naam voordeed en het Google Drive-logo gebruikte.

Enkele uren nadat veel gebruikers getroffen waren, kwam Gmail via Twitter met een mededeling. Omdat de phishingmail van OAuth gebruikmaakte, kon Google de inlogpagina blokkeren. Wie nu op de phishingmail klikt, wordt doorgestuurd naar een errorpagina. Ook heeft Google bij alle gebruikers die inlogden, de toestemming ingetrokken, zodat de kwaadwillende app niet langer toegang heeft tot de e-mailaccounts. Google verwijst getroffen gebruikers naar zijn Security Checkup-pagina.

Volgens Ars Technica is de phishingmail aanvankelijk aan een aantal verslaggevers verstuurd, waarna hij zich snel verspreidde. Omdat gebruikers volledige toegang tot hun e-mailaccount afgaven, kon de phishingmail zichzelf naar het volledige adressenboek van ieder slachtoffer doorsturen. Het is niet duidelijk wat de makers van de phishingmail verder hebben gedaan met de e-mailadressen. In principe hadden ze toegang tot alle e-mails en contactpersonen op de accounts van de getroffen gebruikers.

ArsTechnica's beschrijving van de phishingtechniek

IT-banen

Reacties (54)

Jantje2000 4 mei 2017 09:34

Goed dat Google relatief snel ingrijpt. Wel snap ik aan de andere kant niet direct dat mensen er intrapten, want als er vaker met jou een document wordt gedeeld, dan weet je hoe de layout er uit hoort te zien en mij lijkt ook dat je een document niet opent als je van de ander niets verwacht.

rvt1 @Jantje2000 • 4 mei 2017 10:23

Ik zou zeggen, lees dit maar eens en trek je conclusies : http://www.nu.nl/internet...r-litouwse-oplichter.html

Als google en facebook erin trappen, en die huren wel zo'n beetje de betere medewerkers, hoe denk je dat de gewone man het doet?
Dit soort aanvallen zijn nu eenmaal zeer gerafineerd en moeilijk te onderscheiden van een legitieme mail en je kunt er dus makkelijk intrappen.

edit: spelfout

[Reactie gewijzigd door rvt1 op 28 juli 2024 02:14]

Sissors @Jantje2000 • 4 mei 2017 12:12

Ik heb hem ook gekregen. Ik had niet direct van diegene iets verwacht, maar gezien dat er wat georganiseerd wordt tegelijk voor een gemeenschappelijke kennis, kon ik me voorstellen dat daarvoor een Google Docs werd rondgestuurd. Ik gebruik verder Google Docs bijna nooit, dus ik weet niet hoe het er normaal uit ziet. Verder ging het gewoon via legitieme URLs van Google zelf, gezien ik het ook niet helemaal verwachtte had ik dat netjes gecheckt.

Mijn probleem kwam toen hij vroeg om toestemming om mijn e-mail in te zien. Ik kon niet begrijpen waarom Google Docs daarom vroeg, en toen ik dus rechtstreeks inlogte op Google Docs was er niks te zien. Maar omdat ik Google Docs niet vaak gebruik, kon ik me nog steeds voorstellen dat ik eerst via die link iets moest activeren ofzo.

Oftewel volgende conclusie: Ik begrijp het niet helemaal (ja ik had ook kunnen Googlen hoe het normaal gaat), maar de link naar Google is legitiem, dus als ik gewoon geen toestemming geef voor toegang tot mijn e-mail moet ik veilig zitten. Waarbij er vervolgens een messagebox tevoorschijn kwam dat ik nu echt voor mijn veiligheid een virusscan moest draaien, en toen was het wel duidelijk en heb ik de handel afgesloten. Gezien ik nooit toestemming heb gegeven voor dat ding om mijn mailbox te mogen benaderen denk ik dat ik veilig zit.

Oftewel de TL;DR waarom dit voor het eerst is dat ik hierin (bijna) ben getrapt: Omdat het een compleet legitieme URL van google was. Omdat er niet regelmatig (lees: zo goed als nooit) Google Docs worden gedeeld met mij, en er toevallig nu net een reden was dat diegene misschien wel er eentje met mij zou delen. Pas bij toegang vragen tot mijn inbox gingen er echt alarmbellen af.
Gezien de gemiddelde persoon constant voor alle apps op die knopjes drukt dat de app de noodzakelijke permissies mag krijgen, kan ik me in dit geval heel goed voorstellen dat je erin trapt.

[Reactie gewijzigd door Sissors op 28 juli 2024 02:14]

A Lurker @Jantje2000 • 4 mei 2017 10:18

Het probleem is dat mensen niet direct door hebben wat de implicaties zijn van bepaalde acties. Wij tweakers zijn altijd op de hoede (wellicht zelfs wantrouwend), en wij weten dat als het er net wat anders uitziet er belletjes af dienen te gaan, maar jan met de pet weet niet dat dat soort dingen belangrijk zijn voor het bepalen van de authenticiteit van het bericht. Zelfs vroeger, toen phishing emails nog vol stonden met fouten en rare meldingen, waren er al constant slachtoffers.

Ik heb mijn moeder zo snel mogelijk geleerd dat als je een mail krijgt die je vraagt om ergens in te loggen, je zelf de juiste link moet typen in je browser, en dat is denk ik de beste remedie. Dan hoef je namelijk nooit risico's te nemen. Als het namelijk een legitiem bericht was, kun je het document/bericht alsnog op de website zelf vinden.

Jan121 @Jantje2000 • 4 mei 2017 12:14

Je hebt net Ajax zien winnen

, en je checkt daarna nog even snel je e-mail. Dan zie je dat soort dingen echt niet.

Dat google een `third party` app toelaat onder de naam `Google Docs` is wel heel raar, bijna verwijtbaar zou ik zeggen, daar moet toch op te filteren zijn dunkt me.

Misschien wederom een `unicode` probleem.
nieuws: Google brengt Chrome-update uit die 'onzichtbare' phishingaanval voor...

[Reactie gewijzigd door Jan121 op 28 juli 2024 02:14]

Grrrrrene

@Jantje2000 • 4 mei 2017 12:46

Goed dat Google relatief snel ingrijpt. Wel snap ik aan de andere kant niet direct dat mensen er intrapten, want als er vaker met jou een document wordt gedeeld, dan weet je hoe de layout er uit hoort te zien en mij lijkt ook dat je een document niet opent als je van de ander niets verwacht.

Volgens mij zeg je daar exact wat het probleem is hier. Als je zelden of nooit Google Docs gebruikt weet je niet hoe het eruit dient te zien, bovendien verandert de layout van zo'n feature nog wel eens met een update, dus al zou je ervaren zijn, dan nog kun je denken "Hey, nieuwe layout".

Ik zou er zo in getrapt kunnen zijn. Ik heb de mail gelukkig niet gehad

Het gaat ook niet om die tienduizenden die argwanend kijken omdat ze geen document van die contactpersoon verwachten. Het gaat om de duizenden die een document van contactpersoon X wel plausibel vonden.

Vexxon @Jantje2000 • 4 mei 2017 11:16

Ik vraag me dan wel af hoe die mensen aan die malafide third-party app komen. Als die app in de Play Store stond heeft Google wel een beetje zitten slapen, die had daar namelijk nooit mogen staan.

Maichel 4 mei 2017 09:32

En daarom dus ook altijd de authenticator aan hebben

Jatari @Maichel • 4 mei 2017 09:35

Heeft dus geen verschil. Als jij 'Google Docs' toegang geeft... Dan hebben ze toegang tot de dingen waar jij ze zonet toegang hebt door gegeven. Heeft dus niets te maken met een authenticator .

[Reactie gewijzigd door Jatari op 28 juli 2024 02:14]

Lennyz @Maichel • 4 mei 2017 09:36

Dat staat hier toch volkomen los van? Hier geef je een ander programma de rechten om je e-mail te beheren. Google authenticator komt hier helemaal niet bij kijken.

Maichel @Lennyz • 4 mei 2017 09:40

Ja snap het nu ja....ik dacht dat de "phisher" alsnog je account moest hebben maar je geeft dus gewoon volledige toegang, waardoor men dus niet hoeft in te loggen...

Zou mooi zijn dat je de authenticator alsnog zou moeten gebruiken wanneer je iets of iemand deze rechten geeft

[Reactie gewijzigd door Maichel op 28 juli 2024 02:14]

Torrentus @Maichel • 4 mei 2017 09:51

Lijkt me het probleem ook niet oplossen. Je denkt namelijk dat je die toestemming moet geven om het document te bekijken, anders drukte je nu ook niet op 'Allow'. Daar gaat al dan niet gebruik van een authenticator op dat punt geen verschil in brengen

[Reactie gewijzigd door Torrentus op 28 juli 2024 02:14]

Sieb2 @Maichel • 4 mei 2017 10:02

de hacker kan alleen geen wachtwoorden veranderen (Als je authenticator hebt) dus het is in principe vrij gemakkelijk op te lossen

[Reactie gewijzigd door Sieb2 op 28 juli 2024 02:14]

Stoelpoot @Maichel • 4 mei 2017 10:20

Als je al van plan bent die rechten te geven, veranderd de authenticator daar toch ook niets aan?

SinergyX @Maichel • 4 mei 2017 09:42

Je logt gewoon 'legitiem' in, met authenticator, 2way, sms, whatever, daar ga je dus helemaal niets tegen doen als je daarna blind in gaat loggen op elke site.

Buffalo @Maichel • 4 mei 2017 12:44

Als je een bepaald apparaat vertrouwd aangeeft, en dus de Authenticator niet meer gebruikt, kun je dit dan later weer wijzigen?
Ik had per ongelijk een PC als vertrouwd aangeklikt, maar dit wil ik eigenlijk weer terugdraaien.

PcDealer @Buffalo • 4 mei 2017 13:27

Is er geen overzicht van vertrouwde devices die je weer kunt verwijderen?

Buffalo @PcDealer • 4 mei 2017 19:41

Ik zou niet weten waar ik dat zou moeten zoeken. In de instellingen van Gmail is ieder geval niets te vinden.

PcDealer @Buffalo • 4 mei 2017 21:18

Voor je gevonden:
https://myaccount.google.com/security#activity
https://myaccount.google.com/device-activity

Buffalo @PcDealer • 4 mei 2017 22:27

Thanks. Ik heb die hele security pagina echt nog nooit gezien.
Vind het ook allemaal vrij onoverzichtelijk.
Ook kon ik niet voor 1 specifiek apparaat de 2e stap intrekken.
Maar alleen alles tegelijk.
Maar het is wel gelukt

Verwijderd @Maichel • 4 mei 2017 09:54

daarom Protonmail.com gebruiken en ik ben gaan betalen voor mijn Privacy en versleuteling !
Next-Cloud gaat ook de goede kant op en Google-Docs zijn binnenkort ook overbodig.
de-Google-yourself !

D-Day @Verwijderd • 4 mei 2017 10:07

Dezelfde truuk zal ook bij protonmail werken, ergo, de mens-factor schakel je niet uit.

dakathefox @Zoop • 4 mei 2017 21:03

Ik ben bang dat je het verhaal niet echt begrepen hebt.

TheJoster 4 mei 2017 09:47

Ok dan hebben ze je inlog gegevens, en dat is verre van fijn, maar Google 'zou' dan wel ter extra beveiliging een blokade op 'onbekende' IP addressen kunnen zetten voor je account toch?

En pas na password reset unblock doen. Zou betekenen dat je tijdelijk alleen van 'bekende' IP addressen kan inloggen (zoals via werk/thuis wifi waar je eerder gebruik van hebt gemaakt, of GSM provider IP).

telenut @TheJoster • 4 mei 2017 10:01

ze hebben uw inloggegevens niet... je geeft ze wel toegang tot contactpersonen en email...

TheJoster @telenut • 4 mei 2017 10:51

Mmm dan begreep ik het niet helemaal goed.

Toen ik las

Gebruikers die dat deden, gaven 'Google Docs' volledige controle over hun e-mailaccount.

Nam ik aan dat dit meer toegang gaf dan alleen adresboek en inbox..

Aaargh! @TheJoster • 4 mei 2017 11:18

Deze scam werkt via de API van Gmail. Je kan een applicatie van een 3e partij toegang geven tot jouw account zonder het username/password te geven. Kort door de bocht wordt er een token aangemaakt waarmee kan worden ingelogged en jij geeft expliciet toestemming dat de applicatie horende bij dat token bij bepaalde delen van de GMail mag.

De scam bestaat er uit dat er gedaan wordt alsof je inlogt om bij een Google Docs document te komen terwijl je in werkelijkheid toestemming geeft aan een 3e partij om jouw account te benaderen.

Kraay89

4 mei 2017 09:34

Het blijft een kwestie van educatie. Het enige moment dat ik er wellicht in zou kunnen trappen is als ik net met iemand afgesproken heb een gedeeld document te gebruiken en het fishing 'algoritme' het voor elkaar krijgt om op dat moment mij aan te vallen met de naam van juist die ene persoon. Je bent toch wel gek als je op wat voor link dan ook klikt zonder dat je daar vooraf over bent geïnformeerd?
Misschien is mijn Google docs gebruik te sporadisch om hier in te trappen.

Rinzwind @Kraay89 • 4 mei 2017 10:04

Als je de afbeeldingen bekijkt is het niet zo ver gezocht om door te klikken. Het is meer een fuckup van Google dat ze blijkbaar de echte bron verstoppen. Wakeup call I hope. Als ze dat afzender email adres duidelijk in beeld zetten ipv Google Docs en een Google logo zou het een stuk moeilijker worden mensjes te overtuigen door te gaan..

SinergyX 4 mei 2017 09:48

Omdat de phishingmail van OAuth gebruikmaakte, kon Google de inlogpagina blokkeren

Is dit in de basis dan niet gewoon een creatieve vorm van misbruik van het OAuth principe? Ze zeggen wel altijd dat je moet kijken of de site klopt, de login site klopt, maar die kloppen, het is het systeem erachter dat OAuth dus blijkbaar tot zo'n niveau toegang kan verlenen en sites en apps die hier gebruik (misbruik) van maken.

anargeek @SinergyX • 4 mei 2017 12:21

Ja, het is inderdaad een vrij simpele misbruik van OAuth implementaties. De laatste paar jaar is dit probleem ook al vaker aangetoond door onderzoekers. Mandiant (infosec bedrijf) heeft het ook nog eens aangestipt in hun annual threat report M-Trends 2017 (pdf, pagina 16), van 14 maart j.l.

Het grote gevaar in dit geval is dat Google op eerste gezicht verbergt wat de applicatie is die toegang vraagt, behalve naam & logo. Je moet als gebruiker op een pijltje klikken om deze informatie te zien. Zou me niet verbazen als dat voortaan altijd zichtbaar is. Security tegenover gebruiksvriendelijkheid

[Reactie gewijzigd door anargeek op 28 juli 2024 02:14]

Swindowmasher 4 mei 2017 09:49

Een Reddit gebruiker had een uitgebreide post gemaakt over de scam. Een half uur later was het probleem al opgelost. Een Google medewerker had de post gezien en het probleem doorgegeven naar de juiste afdeling.
(Bron: https://np.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/?context=3)

BitSec 4 mei 2017 09:50

Ja zodra ze je email kunnen lezen en verwijderen word het linke boel.
Dan kunnen ze voor alles waar je geen 2FA hebt een wachtwoord reset voor opvragen en gemakkelijk op je accounts inloggen. Gelukkig heb ik alleen bij de core van mijn accounts 2FA (Email, PayPal)

Verwijderd 4 mei 2017 10:13

Hier kun je rechten van Google beheren.

lukjah @Verwijderd • 4 mei 2017 10:24

Niet echt meer nodig aangezien google het al gestopt heeft.

Zeror

@lukjah • 4 mei 2017 11:27

Maar wel handig om te weten voor andere gevallen

Verwijderd 4 mei 2017 10:47

Yahoo! heeft als handigheidje dat mails van hun worden aangeduid met een witte Y in een paars blokje links van de naam v/d afzender. Zo weet je altijd of het echt van Y! afkomstig is of niet.

http://i.imgur.com/DC69XJN.gif

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:14]

StefanJanssen 4 mei 2017 12:56

Toch apart dat Google niet even herkenning van logo's implementeerd zodat er geen grote software logo's gebruikt kunnen worden icm de naam van dezelfde software tenzij het handmatig door de eigenaar toegestaan.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: