Pawn Storm использует OAuth в сложных схемах социальной инженерии

Pawn Storm использует OAuth в сложных схемах социальной инженерии

В 2015-2016 годах хакеры использовали протокол авторизации OAuth в ходе фишинговых атак.

Группировка Pawn Storm, занимающаяся кибершпионажем и часто связываемая с правительством РФ, использует в атаках протокол авторизации OAuth. Исследователи Trend Micro раскрыли подробности об использовании OAuth в сложных атаках с использованием социальной инженерии в 2015-2016 годах.

OAuth является открытым протоколом авторизации, позволяющим предоставлять сторонним приложениям ограниченный доступ к защищенным ресурсам пользователя без необходимости передавать им учетные данные. Вместо пароля пользователя приложение получает специальный токен авторизации.

Протокол существенно упрощает жизнь, однако также может представлять угрозу безопасности. Злоумышленники могут проходить фоновую проверку, проводимую провайдером сервиса, прежде чем разрешить стороннему приложению использовать OAuth. Затем они могут использовать OAuth в сложных схемах социальной инженерии. Некоторые сервисы для проверки запрашивают от сторонних приложений только электронный адрес и web-сайт, чем и пользуются опытные киберпреступники наподобие Pawn Storm.

В ходе таких атак пользователь получает уведомление, например, замаскированное под сообщение от команды поддержки Gmail. Согласно уведомлению, были якобы зафиксированы попытки неавторизованного доступа к учетной записи пользователя, и жертва должна установить «официальное» приложение Google Defender.

После нажатия на предложенную ссылку пользователь попадает на страницу accounts.google.com. Сайт действительно является легитимным ресурсом Google, однако само приложение фишинговое. Google Defender представляет собой программу, специально разработанную хакерами из Pawn Storm.

Пройдя процесс проверки для получения токена OAuth, Google Defender ведет себя подобно любому другому приложению, одобренному сервисом. Если жертва нажимает на «Разрешить», программа получает токен, и у Pawn Storm появляется доступ к ее электронной почте.

Помимо пользователей Gmail, злоумышленники также атакуют пользователей Yahoo!, предлагая им поддельное решение безопасности McAfee Email Protection. Кроме вышеупомянутых приложений, хакеры также предлагают установить Google Defender, Google Email Protection, Google Scanner, Delivery Service (для пользователей Yahoo!), McAfee Email protection (для пользователей Yahoo!).

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!