Le truffe di Google Documenti rappresentano ancora una minaccia

A maggio 2017, un attacco di phishing ora noto come “il worm Google Docs” diffuso su Internet. Utilizzava applicazioni web speciali per impersonare Google Documenti e richiedere un accesso approfondito alle e-mail e agli elenchi di contatti negli account Gmail. La truffa è stata così efficace perché le richieste sembravano provenire da persone conosciute dall’obiettivo. Se concedessero l’accesso, l’app distribuirebbe automaticamente la stessa e-mail truffa ai contatti della vittima, perpetuando così il worm. L’incidente alla fine ha interessato più di un milione di account prima che Google lo contenesse con successo. Una nuova ricerca indica, tuttavia, che le correzioni dell’azienda non vanno abbastanza lontano. Un’altra truffa virale di Google Docs potrebbe verificarsi in qualsiasi momento.

Il phishing e le truffe di Google Workspace derivano gran parte del loro potere dalla manipolazione di funzionalità e servizi legittimi a fini abusivi, afferma il ricercatore di sicurezza indipendente Matthew Bryant. Gli obiettivi hanno maggiori probabilità di cadere per gli attacchi perché si fidano delle offerte di Google. La tattica, inoltre, mette l’attività al di fuori della portata degli strumenti antivirus o di altri scanner di sicurezza, poiché è basata sul Web e manipola l’infrastruttura legittima.

Nella ricerca presentata alla conferenza sulla sicurezza Defcon questo mese, Bryant ha trovato soluzioni alternative che gli aggressori potrebbero utilizzare per superare le protezioni avanzate di Google Workspace. E il rischio di dirottamenti di Google Workspace non è solo teorico. Un numero di recenti truffe utilizza lo stesso approccio generale per manipolare le notifiche e le funzioni reali di Google Workspace per rendere i link o le pagine di phishing più legittimi e attraenti per i target.

Bryant afferma che tutti questi problemi derivano dal design concettuale di Workspace. Le stesse caratteristiche che rendono la piattaforma flessibile, adattabile e orientata alla condivisione offrono anche opportunità di abuso. Con più di 2,6 miliardi di utenti di Google Workspace, la posta in gioco è alta.

“Il design ha problemi in primo luogo, e questo porta a tutti questi problemi di sicurezza, che non possono essere semplicemente risolti: la maggior parte di essi non sono soluzioni magiche una tantum”, afferma Bryant. “Google ha fatto uno sforzo, ma questi rischi derivano da decisioni progettuali specifiche. Il miglioramento fondamentale implicherebbe il doloroso processo di riprogettazione potenziale di questa roba”.

Dopo l’incidente del 2017, Google ha aggiunto ulteriori restrizioni alle app che possono interfacciarsi con Google Workspace, in particolare quelle che richiedono qualsiasi tipo di accesso sensibile, come e-mail o contatti. Gli utenti possono utilizzare queste app “Apps Script”, ma Google le supporta principalmente in modo che gli utenti aziendali possano personalizzare ed espandere le funzionalità di Workspace. Con le protezioni rafforzate in atto, se un’app ha più di 100 utenti, lo sviluppatore deve inviarla a Google per un processo di revisione notoriamente rigoroso prima che possa essere distribuita. Nel frattempo, se provi a eseguire un’app che ha meno di 100 utenti e non è stata esaminata, Workspace ti mostrerà una schermata di avviso dettagliata che ti scoraggia fortemente dall’andare avanti.

Anche con quelle protezioni in atto, Bryant ha trovato una scappatoia. Queste piccole app possono essere eseguite senza avvisi se ne ricevi una allegata a un documento da qualcuno nella tua organizzazione Google Workspace. L’idea è che ti fidi dei tuoi colleghi abbastanza da non aver bisogno del fastidio di avvertimenti e avvisi rigorosi. Questi tipi di scelte progettuali, tuttavia, lasciano potenziali aperture per gli attacchi.

Ad esempio, Bryant ha scoperto che condividendo il collegamento a un documento Google a cui è collegata una di queste app e cambiando la parola “modifica” alla fine dell’URL con la parola “copia”, un utente che apre il collegamento vedrà un prompt “Copia documento” ben visibile. Puoi anche chiudere la scheda, ma se un utente pensa che un documento sia legittimo e fa clic per crearne una copia, diventa il creatore e il proprietario di quella copia. Vengono anche elencati come “sviluppatori” dell’app che è ancora incorporata nel documento. Quindi, quando l’app chiede l’autorizzazione per eseguire e accedere ai dati del proprio account Google, senza alcun avviso aggiunto, la vittima vedrà il proprio indirizzo e-mail nel messaggio.

Non tutti i componenti di un’app verranno copiati con il documento, ma Bryant ha trovato un modo per aggirare anche questo. Un utente malintenzionato potrebbe incorporare gli elementi persi nella versione di Google Workspace di una “macro” di automazione delle attività, che sono molto simili alle macro di cui si abusa così spesso in Microsoft Office. In definitiva, un utente malintenzionato potrebbe convincere qualcuno in un’organizzazione ad assumere la proprietà e concedere l’accesso a un’app dannosa che può a sua volta richiedere l’accesso agli account Google di altre persone all’interno della stessa organizzazione senza alcun preavviso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *