Кибермошенники используют новый способ доступа к корпоративной электронной почте в Gmail. Они могут читать разговоры и получать данные из других сервисов Google, не взламывая пароль и долгое время оставаясь незамеченными.
По данным «Лаборатории Касперского», в случаях, когда пользователь не вышел из своей учетной записи Gmail, браузер сохраняет его сессию входа, чем и пользуются злоумышленники. Они запускают экземпляр браузера, подключаются через порт отладки и отправляют запросы на доступ к ресурсам учетной записи — как часть сохраненного пользовательского сеанса. Таким образом, злоумышленникам не нужно вводить данные для входа.
Взлом может произойти при синхронизации вашего аккаунта с почтой или сторонними сервисами.
Классический фишинг – поиск учетных данных: злоумышленник выманивает логин и пароль, а затем входит в учетную запись с нуля. Здесь атака работает поверх уже открытой сессии: если сотрудник не вышел из учетной записи в браузере на движке Chromium, инструмент подключается к браузеру через отладочный порт и получает токен от имени пользователя.
Для маскировки этот инструмент подменяет идентификаторы реальных приложений Google Workspace (миграция и синхронизация с Outlook), поэтому запросы теряются среди легитимного трафика. Пользователь также не получает ни одного привычного триггера тревоги: нет письма о входе в систему с нового устройства, нет запроса на второй фактор, нет сообщения о смене пароля — с его стороны абсолютно ничего не происходит. Токен действителен до тех пор, пока он не будет явно отозван. Смена пароля не всегда разрывает сессию, но активные интеграции продолжают работать. В результате чтение переписки, календаря, контактов и файлов на Google Диске может продолжаться неделями.
В случае такой атаки пользователя должны насторожить косвенные признаки: новая или необычная выдача разрешений OAuth и нетипичные схемы доступа к API - по времени, диапазону IP-адресов или объему запросов. А еще — запуск браузера в фоне с флагами удаленной отладки, что является явной аномалией для рядового сотрудника.
Научный сотрудник Университета ИТМО Николай Еритенко советует пользователям взять за правило выходить из своего аккаунта Google на чужих и общедоступных компьютерах. Кроме того, стоит проверить список приложений, подключенных к вашей учетной записи Google, обновить браузер и антивирусную защиту, поскольку отправной точкой атаки является зараженное устройство.
Важно, что при таких атаках нет привычных сигналов, — говорит эксперт по кибербезопасности «Ангара Секьюрити» Николай Долгов. По его словам, следует обратить внимание на незнакомые сторонние приложения с доступом к вашему аккаунту в разделе безопасности Google («Сторонние приложения с доступом к аккаунту»), особенно с широкими разрешениями на полный доступ к почте и контактам.