Home / Vulnerabilities / Google apps ευπάθεια επιτρέπει αποστολή απατηλών email

Google apps ευπάθεια επιτρέπει αποστολή απατηλών email

google-apps

Μια κρίσιμη ευπάθεια που ανακαλύφθηκε στο Google Apps for Work επιτρέπει στους κυβερνοεγκληματίες να εκμεταλλευθούν διευθύνσεις email που βασίζονται στο domain name μιας ιστοσελίδας, ώστε να πραγματοποιήσουν επιθέσεις phishing με φαινομενικό αποστολέα μηνυμάτων την ίδια την εταιρεία.

Αν επιθυμείτε να έχετε μια διεύθυνση ηλεκτρονικού ταχυδρομείου που να ταιριάζει στην εταιρεία σας, π.χ. [email protected] , αντί του [email protected] , τότε μπορείτε να κατοχυρώσετε τον αντίστοιχο λογαριασμό στο Google Apps for Work.

Το Google Apps for Work είναι μια υπηρεσία που σας επιτρέπει να χρησιμοποιήσετε το Gmail, το Drive, το Caledar και τις υπόλοιπες δημοφιλείς εφαρμογές της Google σε επίπεδο ομάδας ή οργανισμού.

Για να αποκτήσετε ένα συγκεκριμένο email, βασισμένο στο domain name σας, από την Google, αρκεί αρχικά να κάνετε είσοδο (login) σε ένα συνηθισμένο λογαριασμό Gmail και στη συνέχεια, να χρησιμοποιήσετε το περιβάλλον διαχείρισης του domain σας που υπάρχει στο Google app interface. Θα χρειαστεί, βέβαια, πρώτα να υπάρξει και το σχετικό verification από την Google.

Αποστολή μηνυμάτων phishing από κλαπέντες λογαριασμούς

Οι ερευνητές Patrik Fehrenbach και Behrouz Sadeghipour ανακάλυψαν ότι ένας επιτιθέμενος μπορεί να κατοχυρώσει οποιοδήποτε μη χρησιμοποιούμενο (που δεν έχει προηγουμένως κατοχυρωθεί στο Google apps service) domain, π.χ. trapeza.com με το Google apps for Work για να αποκτήσει ένα λογαριασμό [email protected] .

Προφανώς, βέβαια, η Google δε θα σας επιτρέψει να έχετε πρόσβαση στην υπηρεσία ηλεκτρονικού ταχυδρομείου για το [email protected] έως ότου ολοκληρωθεί η σχετική διαδικασία πιστοποίησης, που σημαίνει ότι δε μπορείτε ούτε να στείλετε αλλά ούτε και να λάβετε μηνύματα.

Όμως, υπάρχει μια σελίδα στο Google apps που επιτρέπει στο διαχειριστή του domain name να στείλει «Οδηγίες εισόδου» (sign in instructions) στους χρήστες του οργανισμού, π.χ. [email protected] (πρέπει να δημιουργηθεί από το panel πριν προχωρήσουμε στα επόμενα βήματα), με την πρόσβαση στο ακόλουθο URL απευθείας από τον browser:

https://admin.google.com/[email protected]

Χρησιμοποιώντας το interface για σύνθεση μηνύματος, όπως φαίνεται, ο επιτιθέμενος θα μπορούσε να στείλει οποιουδήποτε είδους phishing email που να περιέχει κακόβουλο κώδικα στους παραλήπτες – χρήστες, σε μια προσπάθεια να τους ξεγελάσει για να αποκαλύψουν προσωπικά τους δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης, τραπεζικών κωδικών κ.λπ.

Πριν το PATCH ασφαλείας

Όπως φαίνεται παρακάτω, οι ερευνητές κατάφεραν να αποκτήσουν το [email protected] (από το Twitter) και έστειλαν email στο θύμα με θέμα «Welcome to Twitter», γεγονός που θα μπορούσε να ξεγελάσει πολλούς χρήστες, καθώς οι σελίδες phishing θα φαινόταν έγκυρες.

Google Apps Vulnerability
Google Apps Vulnerability

 

Οι ερευνητές ανέφεραν το πρόβλημα στη Google και έτσι η εταιρεία προχώρησε στη μερική διόρθωση του ελαττώματος. Επιτρέπεται ακόμα σε έναν επιτιθέμενο να έχει πρόσβαση στη λειτουργία «Send Sign in Instructions» για μη πιστοποιημένα domain, όμως αυτή τη φορά ως αποστολέας φαίνεται το [email protected]

Μετά το patch ασφαλείας

Οι συνέπειες, βέβαια, είναι σχεδόν οι ίδιες, γιατί αυτό δεν αποτρέπει τους hackers να στείλουν τα μηνύματα στα υποψήφια θύματά τους.

Γενικά η Google αναγνωρίζει αυτόματα τα ύποπτα μηνύματα και τη μη ζητηθείσα αλληλογραφία, ακόμα κι όταν τα μηνύματα φαίνεται να προέρχονται από μια αληθοφανή πηγή.

Αν όμως οι hackers εκμεταλλευτούν αυτή την ευπάθεια, μπορούν να στείλουν τα μηνύματά τους μέσω των server της Google χωρίς κανένα «καμπανάκι» προειδοποίησης για τους παραλήπτες.

 πηγή:The Hacker News (THN)

Χρήσιμο
Ευανάγνωστο

User Rating: 4.55 ( 2 votes)

About Dimitris Tolmaidis

“ It takes so many years to build a reputation and few minutes of cyber-incident to ruin it. ”

Check Also

Σοβαρή ευπάθεια στα Juniper NetScreen firewall

Οι εταιρεία Juniper ανακοίνωσε ότι εντόπισε “μη εξουσιοδοτημένο κώδικα”  στο ScreenOS, το οποίο είναι το …

Leave a Reply

Your email address will not be published. Required fields are marked *