快速扩散的Google Docs钓鱼攻击：一键接管你的Gmail邮箱

近日，互联网行业的记者们纷纷收到了钓鱼邮件，邮件内容是别人分享的Google文档。这种钓鱼攻击把蠕虫传播方式也结合在了一起，并且通过手段使得钓鱼更难甄别。

钓鱼与蠕虫的结合

一旦点击了链接，你就会被重定向到一个页面，页面内容是Google文档(Google Docs)申请获取以下权限：读取、发送和删除邮件；获取联系人。如果你点击了允许，黑客就能立即管理你的Gmail账号，获取到你所有的邮件、联系人，并且不需要你的密码。

事实上，受害者们收到的是一个假的Google文档，黑客创建了一个名为”Google Docs”虚假应用，然后通过上述的Oauth认证获取你的账号信息。而真正的Google文档是不会请求Gmail账号的权限的。

这种攻击手段实际上与上周趋势科技的报告中Pawn Storm黑客组织的手法很相似。“兵风暴（Pawn Storm）”行动是一场被指由俄罗斯政府支持的黑客组织所进行的网络间谍活动。他们一直在使用新的方法进行钓鱼攻击。报告中，Pawn Storm所使用的钓鱼手法是弹出伪造成Google安全警告的提示，命名为”Google Defender”。

黑客获取权限后会将同样的Google文档钓鱼邮件以你的名义发送给你的所有联系人。而攻击的可怕之处也在于此，只有每一级的传播都是看似来自熟人的邮件，这使得鉴别钓鱼邮件的难度提升。

由于你的私人和公务邮箱往往会用作很多账号的恢复邮箱，因此黑客极有可能控制你的各种账号，包括苹果、Facebook和Twitter账号。

简而言之，所有有关这个Gmail账号的账户都可能存在被黑客攻击的危险，即便开启了双因素认证。

得益于其“蠕虫”性质，Google文档钓鱼攻击的传播速度非常快，起初只是在记者之间传播，之后很快广泛扩散开来，很多使用Gmail作为邮箱的组织和新闻机构纷纷中招，与此同时，还有大量个人用户也遭受攻击。

如何识别这些邮件

你的邮件地址会出现在”BCC:”一栏，而不是直接的收件人，尽管这封邮件来自你认识的人。 收件人地址是一个以mailinator.com结尾的邮箱（很多邮箱是”hhhhhhhhhhhhhhhh@mailinator.com”，mailinator事后发表声明，声称邮件不是由他们发出的） 如果以源码形式查看文档的分享链接，你就会看到一个看似来自Google文档的地址，比如： googledocs.docscloud.download googledocs.docscloud.info googledocs.docscloud.win googledocs.g-cloud.pro googledocs.g-cloud.win googledocs.g-docs.pro googledocs.g-docs.win googledocs.gdocs.download googledocs.gdocs.pro googledocs.gdocs.win

漏洞修复

截至目前，Google已采取行动打击了这次钓鱼攻击，所有与钓鱼攻击相关联的域名已经全部下线，whois记录也已经被清除，用户授予的访问权限也已经从账号上移除。

大家仍可遵照以下步骤检查你的Google账号授予了哪些应用哪些权限：

1. 打开Google账号设置页面 2. 选择“登录与安全”项目下的“关联的应用和网站”检查关联到你帐号的应用