Đó là một kế hoạch lừa đảo mà ngay cả xác thực đa yếu tố và thay đổi mật khẩu của bạn sẽ không sửa được.

Vào thứ Tư, một cuộc tấn công lừa đảo lớn trên Google Docs đã lan rộng trên Gmail, chiếm đoạt tài khoản của mọi người và tự spam vào danh sách liên lạc của nạn nhân. Google nhanh chóng chấm dứt cuộc tấn công, ảnh hưởng đến khoảng 0, 1% người dùng Gmail.

Ngay cả với con số thấp đó, với khoảng 1 tỷ người dùng Gmail, vẫn có ít nhất 1 triệu người bị xâm phạm. Và phát hiện lừa đảo điển hình mà Gmail cung cấp không thể chặn được vì cuộc tấn công thậm chí không cần nạn nhân nhập mật khẩu của họ.

Lừa đảo lừa đảo dựa vào khai thác OAuth, một kế hoạch hiếm hoi tiếp xúc với thế giới vào thứ Tư. OAuth, viết tắt của Open Authorization, cho phép các ứng dụng và dịch vụ "nói chuyện" với nhau mà không cần đăng nhập vào tài khoản của bạn. Hãy suy nghĩ về cách Amazon Alexa của bạn có thể đọc các sự kiện trên Lịch Google của bạn hoặc cách bạn bè trên Facebook của bạn có thể xem bài hát nào bạn đang nghe trên Spotify. Trong ba năm qua, các ứng dụng sử dụng OAuth đã tăng vọt từ 5.500 lên đến 276.000, theo Cisco Cloudlock.

"Bây giờ kỹ thuật này được biết đến rộng rãi, nó có thể gây ra một vấn đề nghiêm trọng - có rất nhiều dịch vụ trực tuyến sử dụng OAuth và thật khó để họ có thể kiểm tra đầy đủ tất cả các ứng dụng của bên thứ ba ngoài đó", Greg Martin nói. CEO của công ty an ninh mạng Jask, trong một email.

Google Docs khai thác khác với các cuộc tấn công lừa đảo thông thường như thế nào?

Một cuộc tấn công lừa đảo thông thường chiếm một trang web có nghĩa là lừa bạn nhập mật khẩu, gửi thông tin nhạy cảm cho kẻ trộm hoặc đăng nhập vào cơ sở dữ liệu.

Với khai thác OAuth, như trong trường hợp lừa đảo Google Docs, tài khoản có thể bị xâm nhập mà không cần người dùng nhập bất cứ thứ gì. Trong sơ đồ Google Docs, kẻ tấn công đã tạo một phiên bản Google Docs giả và xin phép đọc, viết và truy cập email của nạn nhân.

Bằng cách cấp quyền khai thác OAuth, bạn đã cấp cho kẻ xấu quyền truy cập vào tài khoản của bạn một cách hiệu quả mà không cần mật khẩu.

Tại sao tôi không thể thay đổi mật khẩu của mình?

OAuth không hoạt động thông qua mật khẩu, nó hoạt động thông qua mã thông báo cấp phép. Nếu mật khẩu là một khóa khóa cửa tài khoản của bạn, OAuth là một người gác cửa có chìa khóa và bị lừa để cho người khác vào.

Bạn sẽ cần phải thu hồi các quyền để đuổi những kẻ xâm nhập.

Tại sao xác thực đa yếu tố không dừng khai thác OAuth?

Xác thực đa yếu tố hoạt động bằng cách nhắc bạn nhập mã bảo mật khi bạn thử đăng nhập thông qua mật khẩu.

Một lần nữa, trong khai thác này, mật khẩu không phải là điểm vào. Vì vậy, khi tin tặc sử dụng khai thác OAuth, chúng không cần nhập mật khẩu - nạn nhân đã bị lừa khi cho phép.

"Bản thân các ứng dụng không bắt buộc phải có yếu tố thứ hai một khi người dùng đã cấp quyền", theo nghiên cứu của Cisco.

Vậy, tôi nên làm gì nếu rơi vào tình trạng lừa đảo như Gmail?

May mắn thay, sửa chữa là dễ dàng để xử lý hơn nếu bạn rơi vào một khai thác lừa đảo tiêu chuẩn. Trong trường hợp của Google, bạn có thể thu hồi các quyền bằng cách truy cập //myaccount.google.com/permissions. Nếu ứng dụng giả mạo bị tắt, như Google đã làm với trò lừa bịp Google Docs, quyền cũng sẽ tự động bị thu hồi.

Đối với các dịch vụ khác sử dụng OAuth, nó có thể không đơn giản. Hầu hết các dịch vụ dựa trên OAuth sẽ có một trang nơi bạn có thể quản lý các quyền của mình, như trang Ứng dụng của Twitter. Trên thiết bị Android 6.0, bạn có thể thu hồi quyền trên Trình quản lý ứng dụng trong cài đặt của mình.

Thật không may, có hàng trăm ngàn ứng dụng sử dụng OAuth và không đủ thời gian để hầu hết mọi người tìm thấy tất cả các trang quyền cho chúng.

Tạp chí CNET: Kiểm tra một mẫu các câu chuyện bạn sẽ tìm thấy trong phiên bản sạp báo của CNET.

Đó là phức tạp: Đây là hẹn hò trong thời đại của các ứng dụng. Có vui chưa? Những câu chuyện đi vào trung tâm của vấn đề.