Вот уже пару дней интернет-пользователи получают сообщения в Gmail со ссылкой на некий документ Google Docs внутри. На эту ссылку не стоит кликать даже в том случае, если сообщение пришло от знакомого человека. Дело в том, что эту ссылку рассылает зловредное ПО, созданное неизвестной пока командой киберпреступников. Выглядит все вполне невинно: некто (скажем, ваш начальник, коллега или друг) делится через Gmail ссылкой на документ. Если перейти по ссылке, то зловредное ПО может получить доступ к Gmail-аккаунту жертвы.

Этот зловред, кроме прочих данных, анализирует список контактов пользователей и начинает спамить. Кроме того, malware еще и «читает» письма жертвы и «отвечает» на эти письма. Тем и опасна эта фишинг-атака, что ссылки на документы в Google Docs приходят от знакомых людей, во многих случаях — в качестве ответа на отправленное ранее письмо.

Правда, внимательный пользователь все же заметит некоторые нюансы при переходе на ссылку. А именно — «документ» запрашивает доступ к некоторым функциям аккаунта пользователя. Обычный документ Google Docs так себя не ведет. Но если об этом не знать (а большинство пользователей — не знают или не задумываются), то подозрений «документ» не вызовет. В том и проблема — очень многие пользователи кликают по ссылке и без проблем дают malware все, что оно запрашивает.



Самое интересное, что зловред умеет обходить двухфакторную аутентификацию. Его действия также не вызывают подозрения у системы безопасности Google — никаких сообщений о необычной активности аккаунта пользователи не получают. Ну а поскольку malware получает от пользователя высший уровень доступа к аккаунту, то злоумышленники могут получить любую информацию, которую заходят.

Если вдруг вы оказались в числе пострадавших, то необходимо, в первую очередь, отозвать разрешения на доступ к аккаунту у зловреда. Если это ПО уже успело отправить письма вашим контактам, стоит написать им «вдогонку», объяснив ситуацию. Если вы получаете сообщения с упомянутыми ссылками, то стоит также написать тем, кто их отправляет, чтобы предупредить пострадавших пользователей об опасности.

На момент публикации этого материала Google уже заявил о ликвидации проблемы, но все же стоит быть настороже. Сейчас, возможно, распространение ссылок такого типа уже стало невозможным, но до исправления проблемы компанией malware разослало сотни тысяч таких сообщений.

Корпорация Google официально заявила следующее: «Мы приняли меры по защите пользователей от компрометации email-аккаунтов ссылками Google Docs, убрав возможность доступа к аккаунтам. Мы также убрали фейковые страницы и предоставили обновления через Safe Browsing. Наша команда работает для того, чтобы не допустить подобного впредь. Мы просим пользователей сообщать о подобных ситуациях».

Представитель компании также сделал заявление, согласно которому пострадали лишь 0,1% пользователей сервисов Google. Но и это немало, получается, что от действий злоумышленников пострадал примерно 1 миллион человек. И это несмотря на то, что Google ликвидировал уязвимость и само зловредное ПО уже через час после начала работы злоумышленников.

Компания также заявила следующее: «Мы защитили наших пользователей от этих атак, используя автоматические действия и работая „вручную“. Эти действия предусматривают удаление фейковых страниц и приложений… Изучение ситуации показало, что другие данные оказались не затронутыми. Пользователям не нужно предпринимать никаких дальнейших действий в свете происшедшего».

Действия сотрудников компании были быстрыми и эффективными, но все же возникает вопрос — сколько еще уязвимостей такого типа могут использовать злоумышленники? В любом случае, решить проблему можно и без Google, если быть внимательным, но в процессе активной работы над чем-то можно просто не обратить внимание на странности пришедшего сообщения и кликнуть на ссылку, подтвердив доступы. От такого не застрахован никто.