» » » Security Week 26: спам в сервисах Google

 

Security Week 26: спам в сервисах Google

Автор: admin от 24-06-2019, 16:40, посмотрело: 28

Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд ли удастся эксплуатировать массово в ближайшее время. А вот свежеобнаруженные критические уязвимости в распространенных программах, как правило, требуют немедленных действий, если эти программы используются в вашей рабочей или личной инфраструктуре. Из последних событий к таким относятся zero-day в Windows, уязвимость в почтовом сервере Exim или даже совсем свежая дыра в плеере VLC.



Security Week 26: спам в сервисах Google

Но есть проблемы, связанные с безопасностью, которые существуют давно, эволюционируют медленно и эксплуатируются массово. В информационном пространстве им уделяется меньше внимания: ну понятно, что есть спам и связанное с ним широкомасштабное мошенничество, и что теперь? Давайте для разнообразия посмотрим на эту скучную тему, тем более, что повод есть. Недавно в блоге «Лаборатории Касперского» был опубликован подробный обзор методик рассылки спама через многочисленные сервисы Google. Если вам не повезло, вы с такими надоедливыми атаками сталкивались сами. Так произошло и с одним из авторов этого дайджеста. В этом посте мы дополним обзор методов рекомендациями и на примере спама поговорим о проблемах приватности. Если конкретнее — о том, как доступ к вашим сервисам по сути ограничен двумя последовательностями букв и цифр, которые известны всем.

статье приведены еще два примера нетрадиционного спама через сервисы Google: уведомления из Google Photos и спам через документы на Google Drive. Можно добавить и спам через мессенджер Google, сменивший за свою историю десяток названий. Проанализировав все эти примеры, можно ограничиться рекомендацией «не кликайте на подозрительные ссылки и не открывайте подозрительные файлы». И это действительно первое, что нужно иметь в виду при получении спама любыми методами. Но дело не только в этом.



На прошлой неделе издание ZDNet опубликовало очередную историю жертвы подмены SIM-карты. Злоумышленник получил доступ к телефону автора статьи: позвонил сотовому оператору, сообщил личные данные владельца и запросил перевыпуск симки. После этого он проник в учетную запись Google, перехватил доступ к Twitter и отключил владельцу интернет (тоже предоставленный Google). Таким образом он максимально затруднил восстановление доступа к учетным записям, и даже попытался (к счастью, неудачно) купить биткойны с банковского счета жертвы на 25 тысяч долларов. Два интересных момента в этой статье: замена SIM-карты посторонним лицом произошла дважды (!), а попытки связаться с поддержкой Google увенчались успехом, но далеко не сразу.



Вроде бы к спаму это не имеет прямого отношения, но на самом деле можно обозначить общую проблему: в типичном сценарии доступ к самым важным цифровым активам завязан на ваш номер телефона и адрес электронной почты. То есть на то, что известно многим людям и в большинстве случаев легко обнаруживается злоумышленниками. В худшем случае это приводит к потере времени, денег и репутации, как это описано в статье ZDNet и во многих других примерах. В «лучшем» это приводит к потере времени, звонкам телефона посреди ночи и бардаку в почтовом ящике. Но подождите, в этом ведь тоже нет ничего хорошего!



Если ваш почтовый ящик используется для общения с большим количеством людей, тем более — для бизнеса, вы вряд ли будете его менять из-за спам-атак. Можно считать это неизбежным злом. Провайдерам сервисов (это касается не только Google) определенно следует улучшить защиту пользователя от эксплуатации этих самых сервисов злоумышленниками. Пользователям можно порекомендовать не складывать все яйца в одну корзину: для доступа к самым важным цифровым ресурсам (для кого-то это может быть банковский счет, для кого-то — аккаунт в Twitter) завести отдельный почтовый адрес и даже телефонный номер, который не знает никто. Да, это неудобно! В 2004 году, когда появился почтовый сервис GMail, Google получила конкурентное преимущество, сделав почту удобной (до этого сделав удобным поиск). Следующий лидер на рынке цифровых услуг сможет им стать, если разрешит сетевые неудобства, да и попросту угрозы сегодняшнего дня.



Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.


Источник: Хабр / Интересные публикации

Категория: Google

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *