Хабрахабр

Security Week 26: спам в сервисах Google

Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд ли удастся эксплуатировать массово в ближайшее время. А вот свежеобнаруженные критические уязвимости в распространенных программах, как правило, требуют немедленных действий, если эти программы используются в вашей рабочей или личной инфраструктуре. Из последних событий к таким относятся zero-day в Windows, уязвимость в почтовом сервере Exim или даже совсем свежая дыра в плеере VLC.

Но есть проблемы, связанные с безопасностью, которые существуют давно, эволюционируют медленно и эксплуатируются массово. В информационном пространстве им уделяется меньше внимания: ну понятно, что есть спам и связанное с ним широкомасштабное мошенничество, и что теперь? Давайте для разнообразия посмотрим на эту скучную тему, тем более, что повод есть. Недавно в блоге «Лаборатории Касперского» был опубликован подробный обзор методик рассылки спама через многочисленные сервисы Google. Если вам не повезло, вы с такими надоедливыми атаками сталкивались сами. Так произошло и с одним из авторов этого дайджеста. В этом посте мы дополним обзор методов рекомендациями и на примере спама поговорим о проблемах приватности. Если конкретнее — о том, как доступ к вашим сервисам по сути ограничен двумя последовательностями букв и цифр, которые известны всем.
Начнем с «капитанского» заявления: доступ к любому сервису в вашем аккаунте Google возможен по адресу вашей электронной почты. Вам как пользователю это удобно: зарегистрируйте почту и получите сразу мессенджер, место для хранения фотографий и других файлов, календарь и менеджер контактов, и многое другое. Спамерам такая конструкция удобна вдвойне, и с некоторых пор спам начал принимать новые формы. Это теперь не только отправка непрошеных сообщений в ваш почтовый ящик. Имея доступ к метаданным миллионов аккаунтов, Google борется с традиционным спамом достаточно неплохо, и в середине двухтысячных это было серьезным преимуществом на тот момент нового почтового сервиса GMail.

Такие сообщения окажутся в папке «Спам» с вероятностью, близкой к 100%. Поэтому спамеры начали эксплуатировать другие сервисы Google: выполняя действие в этом сервисе, можно вызывать отправку сообщения жертве, используя собственные серверы компании. Так появился спам через формы Google.

То есть: создается форма, заполняется, указывается ваш адрес, вам приходит нотификация (спасибо, что заполнили форму «Вам пришло много денег, получите же их скорее»). Манипулируя названиями формы и отдельных полей, можно создать сообщение, угодное преступнику, — со ссылкой на мошенничество с опросными формами, с какими-то неработающими финансовыми схемами, с дутыми криптобиржами. Сегодня мы не будем исследовать, чего именно спамеры пытаются от вас добиться, это не принципиально в контексте данной истории. Такой спам может быть как массовым, так и таргетированным.

Зато эксплуатируются любые сторонние сервисы, в логике которых есть отправка e-mail пользователю. Надо отметить, что, по субъективным впечатлениям автора этих строк, пик спама через Google-формы был год-два назад, теперь таких сообщений почти нет. От этого страдает в том числе и бизнес, как правило, малый, располагающий только базовыми инструментами работы с пользователями на сайте. В результате на вашу почту регистрируют аккаунты в интернет-магазинах, пытаясь вставить спам-ссылку в поле «имя пользователя», атакуют веб-формы с механикой «заполните и получите сообщение», эксплуатируют системы технической поддержки. Спам через Формы, судя по всему, удалось ограничить или искоренить, но прямо сейчас активно эксплуатируется другая дырка в логике: спам через Календарь. Впрочем, вернемся в Google.

Что мы здесь видим? Кто-то создает мероприятие и рассылает приглашение рандомным пользователям в сети, в том числе и вам. Собственно «спам-контент» — это название мероприятия, но здесь интересно, что мероприятие не однократное, а ежедневное. Подождите, но почта GMail правильно определила это сообщение как спам — значит, все в порядке? А вот и нет: с настройками календаря по умолчанию все приглашения автоматически добавляются в ваше расписание, независимо от статуса в почте.

И вот это уже настоящая боль, к которой приводят и действия спамеров, и подход компании Google, которая, конечно же, желает максимально упростить использование своих сервисов. Если спам через Формы немного раздражал тем, что периодически пробивал фильтры Google (чего обычно не происходит в иных случаях), то здесь вы получаете уведомление на телефоне, со звуком и не исключено, что ночью.

Вот эта настройка решает проблему раз и навсегда. Если выбрать третью опцию «показывать только приглашения, на которые был ответ», то спам в календаре и в телефоне пропадает (не считая тех «мероприятий», которые уже успели туда попасть — их надо удалять из календаря вручную). Интересно, что эта настройка недоступна с мобильного телефона и присутствует только в десктопной версии. Все для вашего удобства!

В статье приведены еще два примера нетрадиционного спама через сервисы Google: уведомления из Google Photos и спам через документы на Google Drive. Можно добавить и спам через мессенджер Google, сменивший за свою историю десяток названий. Проанализировав все эти примеры, можно ограничиться рекомендацией «не кликайте на подозрительные ссылки и не открывайте подозрительные файлы». И это действительно первое, что нужно иметь в виду при получении спама любыми методами. Но дело не только в этом.

Злоумышленник получил доступ к телефону автора статьи: позвонил сотовому оператору, сообщил личные данные владельца и запросил перевыпуск симки. На прошлой неделе издание ZDNet опубликовало очередную историю жертвы подмены SIM-карты. Таким образом он максимально затруднил восстановление доступа к учетным записям, и даже попытался (к счастью, неудачно) купить биткойны с банковского счета жертвы на 25 тысяч долларов. После этого он проник в учетную запись Google, перехватил доступ к Twitter и отключил владельцу интернет (тоже предоставленный Google). Два интересных момента в этой статье: замена SIM-карты посторонним лицом произошла дважды (!), а попытки связаться с поддержкой Google увенчались успехом, но далеко не сразу.

То есть на то, что известно многим людям и в большинстве случаев легко обнаруживается злоумышленниками. Вроде бы к спаму это не имеет прямого отношения, но на самом деле можно обозначить общую проблему: в типичном сценарии доступ к самым важным цифровым активам завязан на ваш номер телефона и адрес электронной почты. В «лучшем» это приводит к потере времени, звонкам телефона посреди ночи и бардаку в почтовом ящике. В худшем случае это приводит к потере времени, денег и репутации, как это описано в статье ZDNet и во многих других примерах. Но подождите, в этом ведь тоже нет ничего хорошего!

Можно считать это неизбежным злом. Если ваш почтовый ящик используется для общения с большим количеством людей, тем более — для бизнеса, вы вряд ли будете его менять из-за спам-атак. Пользователям можно порекомендовать не складывать все яйца в одну корзину: для доступа к самым важным цифровым ресурсам (для кого-то это может быть банковский счет, для кого-то — аккаунт в Twitter) завести отдельный почтовый адрес и даже телефонный номер, который не знает никто. Провайдерам сервисов (это касается не только Google) определенно следует улучшить защиту пользователя от эксплуатации этих самых сервисов злоумышленниками. В 2004 году, когда появился почтовый сервис GMail, Google получила конкурентное преимущество, сделав почту удобной (до этого сделав удобным поиск). Да, это неудобно! Следующий лидер на рынке цифровых услуг сможет им стать, если разрешит сетевые неудобства, да и попросту угрозы сегодняшнего дня.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть