Gebruikers van Google Docs zijn gisteren het doelwit van een zeer geraffineerde phishingaanval geworden. De phishingmail, die onder andere via gehackte accounts werd verstuurd, probeerde slachtoffers een kwaadaardige app toegang tot hun Google-account te geven.

De e-mail liet gebruikers weten dat iemand een document met ze wilde delen. Zodra gebruikers op de link klikten werden ze naar een website van Google doorgestuurd om een Google-account te kiezen. Vervolgens verscheen de vraag of de gebruiker een applicatie genaamd "Google Docs" toegang tot hun Google-account wilde geven. Als gebruikers toegang gaven werd hetzelfde bericht naar hun contacten doorgestuurd.

De aanvallers maakten hierbij gebruik van de authenticatiestandaard OAuth. Dit is een manier om derde partijen toegang tot de accounts van gebruikers te geven, zonder dat gebruikers hierbij hun echte wachtwoord hoeven af te staan. De derde partij krijgt in dit geval een token waarmee hij toegang tot het account krijgt. Aanvallers kunnen hier echter ook misbruik van maken. Onlangs waarschuwde anti-virusbedrijf Trend Micro nog hoe een groep cyberspionnen genaamd Pawn Storm OAuth voor soortgelijke aanvallen had gebruikt.

Kort nadat een gebruiker op Reddit over de e-mails klaagde kwam Google in actie en schakelde de accounts van de aanvallers uit. "We hebben de neppagina's verwijderd, updates via Safe Browsing verspreid en ons abuseteam neemt maatregelen om dergelijke spoofing in de toekomst te voorkomen", aldus een reactie van Google.

Update

Cisco waarschuwt dat de aanvallers via de OAuth-aanval toegang tot alle e-mails van gebruikers konden krijgen. Slachtoffers wordt dan ook geadviseerd om de permissies van de kwaadaardige app in te trekken en daarna hun wachtwoord te veranderen. Ook moeten ze maatregelen tegen "secondaire aanvallen" nemen, zoals identiteitsdiefstal en afpersing, doordat er toegang tot de e-mails is verkregen. Cisco verwacht dat vanwege het succes van deze aanval er in de toekomst meer soortgelijke aanvallen zullen plaatsvinden.