Een zeer geraffineerde en grootschalige phising-actie gisteravond. Criminelen verstuurden in één keer naar een heleboel internetgebruikers een phising-mail die niet werd gedetecteerd door spamfilters. En de mail was ook nog eens heel geloofwaardig.
De mail leek een uitnodiging om toegang te krijgen tot een bestand in Google Docs dat iemand had gedeeld. En als je op de blauwe button ‘Open in Docs’ klikte, kwam je op een pagina van Google terecht waarin je een app genaamd ‘Google Docs’ toegang geeft tot je mail en contacten. Enige probleem: dit was niet echt Google Docs, maar een goed vermomde fake-app van de criminelen. Gaf je toestemming, dan konden ze al je contacten en mails stelen.
@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta (@zachlatta) May 3, 2017
Gebruikers die de fout in zijn gegaan, kun je bijna niks verwijten. De criminelen hebben heel slim gebruik gemaakt van de authenticatie-API waarmee applicaties gebruik kunnen maken van je Google-account. Het enige wat alarmbellen zou kunnen laten afgaan is dat deze nepversie van Google Docs toegang wilde tot al je mail en contacten. En als je op de naam Google Docs had geklikt, had je gezien dat de ontwikkelaar niet Google was, maar een willekeurig GMail-adres.
Eigenlijk valt Google meer te verwijten, omdat het bedrijf blijkbaar niet heeft ingebouwd dat ontwikkelaars namen en logo’s van Google-producten gebruiken voor de applicaties die ze aanmelden. Hierdoor konden de criminelen makkelijk een nep-applicatie bouwen die nauwelijks van echt te onderscheiden was en daarmee toegang vragen tot mensen hun Google-account.
Overigens handelde Google na de aanval wel snel en blokkeerde de app. Hierdoor krijgen de criminelen geen toegang tot je accounts, zelfs niet als je nu toestemming zou geven. Het gevaar is daarmee geweken, maar de criminelen hebben ondertussen wel flink wat data kunnen stelen. En bij Google heeft het beveiligingsteam wat om te evalueren…
Wie er achter de aanval zaten is tot nu toe nog onduidelijk.