События

Pawn Storm использует OAuth в сложных схемах социальной инженерии

Pawn Storm использует OAuth в сложных схемах социальной инженерии

Группировка Pawn Storm, занимающаяся кибершпионажем и часто связываемая с правительством РФ, использует в атаках протокол авторизации OAuth. Исследователи Trend Micro раскрыли подробности об использовании OAuth в сложных атаках с использованием социальной инженерии в 2015-2016 годах.

OAuth является открытым протоколом авторизации, позволяющим предоставлять сторонним приложениям ограниченный доступ к защищенным ресурсам пользователя без необходимости передавать им учетные данные. Вместо пароля пользователя приложение получает специальный токен авторизации.

Протокол существенно упрощает жизнь, однако также может представлять угрозу безопасности. Злоумышленники могут проходить фоновую проверку, проводимую провайдером сервиса, прежде чем разрешить стороннему приложению использовать OAuth. Затем они могут использовать OAuth в сложных схемах социальной инженерии. Некоторые сервисы для проверки запрашивают от сторонних приложений только электронный адрес и web-сайт, чем и пользуются опытные киберпреступники наподобие Pawn Storm.

В ходе таких атак пользователь получает уведомление, например, замаскированное под сообщение от команды поддержки Gmail. Согласно уведомлению, были якобы зафиксированы попытки неавторизованного доступа к учетной записи пользователя, и жертва должна установить «официальное» приложение Google Defender.

После нажатия на предложенную ссылку пользователь попадает на страницу accounts.google.com. Сайт действительно является легитимным ресурсом Google, однако само приложение фишинговое. Google Defender представляет собой программу, специально разработанную хакерами из Pawn Storm.

Пройдя процесс проверки для получения токена OAuth, Google Defender ведет себя подобно любому другому приложению, одобренному сервисом. Если жертва нажимает на «Разрешить», программа получает токен, и у Pawn Storm появляется доступ к ее электронной почте.

Помимо пользователей Gmail, злоумышленники также атакуют пользователей Yahoo!, предлагая им поддельное решение безопасности McAfee Email Protection. Кроме вышеупомянутых приложений, хакеры также предлагают установить Google Defender, Google Email Protection, Google Scanner, Delivery Service (для пользователей Yahoo!), McAfee Email protection (для пользователей Yahoo!).

Источник

Автор: Сергей Куприянов
25.04.2017 (15:56)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.