Хакеры взломали Gmail без доступа к паролю

1 просмотров
Хакеры взломали Gmail без доступа к паролю

Кибермошенники используют новый способ доступа к корпоративной электронной почте в Gmail. Они могут читать разговоры и получать данные из других сервисов Google, не взламывая пароль и долгое время оставаясь незамеченными.

По данным «Лаборатории Касперского», в случаях, когда пользователь не вышел из своей учетной записи Gmail, браузер сохраняет его сессию входа, чем и пользуются злоумышленники. Они запускают экземпляр браузера, подключаются через порт отладки и отправляют запросы на доступ к ресурсам учетной записи — как часть сохраненного пользовательского сеанса. Таким образом, злоумышленникам не нужно вводить данные для входа.

Взлом может произойти при синхронизации вашего аккаунта с почтой или сторонними сервисами.

Классический фишинг – поиск учетных данных: злоумышленник выманивает логин и пароль, а затем входит в учетную запись с нуля. Здесь атака работает поверх уже открытой сессии: если сотрудник не вышел из учетной записи в браузере на движке Chromium, инструмент подключается к браузеру через отладочный порт и получает токен от имени пользователя.

Для маскировки этот инструмент подменяет идентификаторы реальных приложений Google Workspace (миграция и синхронизация с Outlook), поэтому запросы теряются среди легитимного трафика. Пользователь также не получает ни одного привычного триггера тревоги: нет письма о входе в систему с нового устройства, нет запроса на второй фактор, нет сообщения о смене пароля — с его стороны абсолютно ничего не происходит. Токен действителен до тех пор, пока он не будет явно отозван. Смена пароля не всегда разрывает сессию, но активные интеграции продолжают работать. В результате чтение переписки, календаря, контактов и файлов на Google Диске может продолжаться неделями.

В случае такой атаки пользователя должны насторожить косвенные признаки: новая или необычная выдача разрешений OAuth и нетипичные схемы доступа к API - по времени, диапазону IP-адресов или объему запросов. А еще — запуск браузера в фоне с флагами удаленной отладки, что является явной аномалией для рядового сотрудника.

Научный сотрудник Университета ИТМО Николай Еритенко советует пользователям взять за правило выходить из своего аккаунта Google на чужих и общедоступных компьютерах. Кроме того, стоит проверить список приложений, подключенных к вашей учетной записи Google, обновить браузер и антивирусную защиту, поскольку отправной точкой атаки является зараженное устройство.

Важно, что при таких атаках нет привычных сигналов, — говорит эксперт по кибербезопасности «Ангара Секьюрити» Николай Долгов. По его словам, следует обратить внимание на незнакомые сторонние приложения с доступом к вашему аккаунту в разделе безопасности Google («Сторонние приложения с доступом к аккаунту»), особенно с широкими разрешениями на полный доступ к почте и контактам.