Гугл-фішинг (Google-phishing)
20:12 03.12.2011Розповім вам про Гугл-фішинг (Google-phishing). Це метод проведення фішинг атак Гуглом, з яким я стикнувся сьогодні.
Все почалося з того, що сьогодні моя подруга повідомила про один інцидент, який в неї трапився з поштою Gmail. Який призвів до того, що її акаунт був заблокований Гуглом і вона не може потрапити до свого поштового акаунту. Коли вона згадала про те, що з неї вимагали кошти (оплата кредиткою), в мене одразу з’явилася думка, що це фішинг атака. Але вислухавши всю її розповідь стало зрозуміло, що це саме Гугл її заблокував і почав з неї вимагати гроші або документи. Що я підтвердив, коли на власні очі побачив відповідні повідомлення Гугла, зайшовши в її акаунт. Враховуючи те, як Гугл поводить себе в рамках цієї “верифікації”, я назвав це Гугл-фішингом (Google-phishing).
Процедура, що може призвести до блокування вашого Гугл акаунта і відповідно заблокує вам доступ до всіх сервісів Гугла, якими ви користувалися (Gmail та іншими), називається верифікація віку (age verification). І подібна ситуація, яка трапилася з моєю подругою, коли ваш акаунт може бути заблокований через дану процедуру, може трапитися з будь-яким користувачем сервісів Гугла. Зробивши відповідний пошук в Google, можна знайти сотні тисяч сторінок з розповідями про те, як у людей заблокувалися акаунти. Подібних інцидентів трапилося чимало за останні місяці (я лише зараз про це дізнався, досліджуючи проблему подруги), після того як Гугл увів дану процедуру на своїх сайтах.
Будь-якому користувачу сервісів компанії Google може вивестися повідомлення про необхідність пройти верифікацію віку. І якщо вказати невірні дані (або вірні дані, але людина має недостатній вік), коли вік буде менше 13 років, то акаунт буде заблокований. При блокуванні Гугл виводить “The Google Account for …@gmail.com has been disabled” (для інших сервісів повідомлення відповідне). Більш того, Гугл дає 30 днів на розблокування, після чого акаунт видаляється. І якщо ви цим акаунтом користовулися для пошти, то ваша поштова скринька (з усіма листами) буде видалена, те саме стосується блогів на блог-хостінгу Blogger та інших сервісів Гугла.
Детально про верифікацію віку (age verification) можна прочитати на сайті Гугла. Всього Гугл пропонує три методи розблокування:
- Оплатити кредиткою - зробити оплату на $0,30 (при цьому банк ще може зняти $1 за проведення транзакції). При цьому компанія обіцяє, що ця сума буде повернута (але це не стосується плати, що може зняти банк).
- Відправка скана документа, що засвідчує особу та її вік, через сайт.
- Відправка скана документа через пошту або факс.
Всі ці вимоги Гугла я вважаю перебільшеними. І подібний підхід, щоб заблокувати акаунт, а потім вимагати гроші з кредитки або скан паспорта, я можу назвати тільки як фішинг. В даному випадку Гугл-фішинг, який ще можна назвати Age verification phishing.
І раз Гугл таким займається, то і фішери можуть почати таким займатися. І підроблювати для користувачів сервісів Гугла подібне повідомлення, що мовляв у них акаунт заблокований (та вимагати кошти під видглядом Гугла). Й пропонувати їм оплатити зняття блокування за суму більше ніж $0,30, або ж ті самі $0,30, але при цьому вкрасти дані платіжних карток. Тобто своїми діями Гугл відкрив для фішерів нові можливості по зароблянню коштів.
Окрім Age verification phishing, також може бути проведена атака - Age verification attack. Коли зловмисники атакують (через CSRF або при тимчасовому доступі до акаунту) будь якого користувача сервісів Гугла і заблокують йому акаунт. Після чого йому доведеться витратити час (і потенційно й кошти) для його розблокування. А якщо людина відсутня деякий час (наприклад, поїхала у відпуску), коли сталася дана атака, і термін в 30 днів пройшов, коли вона виявила, що таке трапилося, то людина залишиться без свого акаунта. І без усіх даних, що в ньому знаходилися.
