A felhasználóknak kedden küldött adathalász e-mailek arra kérték a címzetteket, hogy nyissanak meg egy Google dokumentumnak tűnő fájlt. A hivatkozás azonban egy alkalmazás megnyitásához vezetett, amely immár arra szólította fel őket, hogy adjanak engedélyt a Gmail-fiókjukhoz való hozzáféréshez.
A címzettek könnyen bedőlhettek a trükknek, mivel a rosszindulatú app a Google Docs nevet viselte, és a hozzáféréshez a Google valódi bejelentkező ablakát jelenítette meg.
A hackerek az OAuth protokollon keresztül hajtották végre a támadást, ezt a protokollt használják az internetes szolgáltatók (Google, Twitter, Facebook és mások) a külső alkalmazásokhoz való csatlakozáshoz.
Az OAuth protokoll nem továbbít jelszó információt, hanem speciális hozzáférési tokeneket használ a fiókokhoz való hozzáféréshez. Ugyanakkor rossz kezekbe kerülve az OAuth veszélyessé válhat. A keddi támadások mögött álló kiberbűnözők egy olyan appot készítettek, amely kihasználta a Google a fiókokhoz való hozzáférést lehetővé tevő folyamatait.
A Trend Micro biztonsági cég felhőkutatásokért felelős alelnöke, Mark Nunnikhoven szerint a támadás igen intelligens volt, és azt a funkciót használta ki, amely lehetővé teszi a Google fiókok és a külső alkalmazások összekapcsolását.
Az OAuth felhasználása a fiókokhoz való hozzáféréshez különösen fondorlatos módszer, mivel így nincs szükség az áldozat bejelentkezési adatainak ellopására, és kijátssza a Google kétfaktoros azonosítását is. A Trend Micro szerint a múlt hónapban a Fancy Bear nevű orosz hackercsoport az OAuth kihasználásával hasonló módon hajtott végre adathalászati célú támadásokat. A mostani incidens mögött azonban valószínűleg nem ők állnak, mivel a támadássorozat túlságosan kiterjedt, vélekedik Jaime Blasco, az AlienVault biztonsági cég vezető kutatója.
Szerencsére a Google gyorsan cselekedett és leállította a támadásokat, miután egy felhasználó bejegyzést posztolt róla a Redditen. A keresőkirály közleményében azt olvashatjuk, védelmi csapatuk azon dolgozik, hogy az ilyen típusú csalásokat megakadályozzák a jövőben.
A biztonsági szakértők és a Google azt tanácsolja az érintett felhasználóknak, hogy ezen az oldalon ellenőrizzék, mely külső alkalmazásoknak van hozzáférése a fiókjukhoz, és a gyanúsaktól vonják meg a hozzáférést.