20 Google Assistant Apps You Did Not Know About!
구글이 멈추기 3 시간 전에 회람 한 피싱 이메일은 수령인에게 Google Doc로 보이는 것을 열어달라고 요청했습니다. 티저는 "문서에서 열기"라는 파란색 상자였습니다. 실제로 링크를 클릭하면 사용자에게 Gmail 계정에 대한 액세스 권한을 요청하는 모호한 앱이 생겼습니다.
[추가 정보 : 맬웨어 제거 방법
해커는 Google, 트위터, 페이스 북 및 기타 서비스의 인터넷 계정이 타사 앱과 연결되는 방식 인 OAuth 프로토콜을 악용하여 공격을 해낼 수있었습니다.
OAuth 프로토콜은 암호 정보를 전송하지 않고 대신 계정 액세스를 열 수있는 특수 액세스 토큰을 사용합니다.
그러나 OAuth는 잘못된 방법으로 위험 할 수 있습니다. 화요일 공격의 해커들은 Google 프로세스를 이용하여 계정 액세스 권한을 얻는 실제 타사 앱을 제작 한 것으로 보인다.
거짓 애플리케이션은 계정 권한을 요청하려고 시도 할 것이다.
트렌드 마이크로는 지난달에 팬시 베어 (Fancy Bear)라고하는 러시아 해킹 그룹이 악용 한 유사한 이메일 공격 방법을 사용하고 있다고 전했다. 트렌드 마이크로는 지난 달 다른 사람의 로그인 자격 증명이나 구글의 2 단계 인증을 도용 할 필요가 없기 때문에 계정 액세스가 특히 싫어했다. 피싱 희생자를위한 OAuth 프로토콜이있다. "그러나 보안 전문가들은 화요일 피싱 공격은 많은 전문가들이 러시아 정부를 위해 일한다고 의심하는 어둠의 그룹 인 팬시 베어 (Fancy Bear)가 아니라고 말했다.
이것의 뒤에 … 너무 넓게 퍼져 있기 때문에, "보안 제공자 AlienVault의 수석 과학자 인 Jaime Blasco는 이메일에서 말했다. 화요일에, 기자를 포함하여 트위터의 많은 사용자는 피싱 이메일의 스크린 샷을 게시하여 해커가 더 많은 사용자를 대상으로 피해자의 연락처 목록을 수집하고 있다고 추측했다.
전자 메일 주소 "[email protected]"에서 무료 메일 서비스 제공 업체 인 Mailinator는 어떤 관련도 거부했습니다.
다행스럽게도 Google은 Reddit 사용자가 피싱 공격을 막음으로써 피싱 공격을 막을 수있었습니다.
"가짜 페이지를 삭제하고 세이프 브라우징을 통해 업데이트를 푸시 했으므로 악의적 인 프로그램이이를 방지하기 위해 노력하고 있습니다. 구글은 성명서에서 밝혔다.
보안 전문가와 구글은 영향을받은 사용자에게 제 3 자 애플리케이션이 자신의 계정에 접근 할 수있는 권한이 있는지 확인하고 의심스러운 액세스를 철회 할 것을 권고한다. 사용자는이 주소로 이동하거나 Google 보안 점검을 수행 할 수 있습니다.
의심스러운 이메일을 신중히 다루는 것도 좋은 습관입니다. 보안 회사는 다른 해커가 Google을 통하지 않고 Facebook 및 LinkedIn을 통해 OAuth를 악용하는 비슷한 피싱 공격을 수행 할 수 있다고 경고합니다. 시스코의 탈로스 (Talos) 보안 그룹은 블로그의 글에서 "다른 모든 창의적이고 새로운 접근 방식과 마찬가지로 즉시 거의 무겁게 복사 될 것"이라고 밝혔다. Talos는 OAuth를 사용하고 클라우드에 연결하는 275,000 개 이상의 응용 프로그램을 확인했습니다.
그러나 화요일의 공격이 참신했지만 OAuth의 위험성은 거의 새로운 것이 아닙니다. 보안 전문가들은 과거에 사용자가 OAuth 조작을 통해 피싱을하여 잘못된 사람에게 권한을 부여 할 수 있다고 경고했습니다.
그런 공격에 대응하여 Google은 지난 달 OAuth 악용 사례를 검토하고 수천 개의 리서치 회사 인 에라타 시큐리티 (Errata Security)의 CEO 인 로버트 그레이엄 (Robert Graham)은 피싱 (phishing) 방식으로 인해 구글이 OAuth를 사용하는 애플리케이션에 대해보다 엄격한 태도를 취할 것이라고 주장했다.
인터넷 거대 기업은 보안 확보와 번성하는 앱 생태계 사이의 균형을 맞추어야합니다.
" "이것은 절충점이다."
인텔은 펜티엄 4 벤치 마크를 위장한 청구를 해결하기 위해 15 달러를 지불합니다.
![인텔은 펜티엄 4 벤치 마크를 위장한 청구를 해결하기 위해 15 달러를 지불합니다. 인텔은 펜티엄 4 벤치 마크를 위장한 청구를 해결하기 위해 15 달러를 지불합니다.](https://i.joecomp.com/img/processors-2018/intel-will-pay-you-15-to-settle-claims-it-fudged-pentium-4-benchmarks.jpg)
소송은 HP와 인텔이 펜티엄 4 14 년 전에 4 벤치 마크. 그러나 PC를 구입했다면 좋은 소식입니다! Intel에서 점심입니다.
새로운 도구가 정식 책갈피 관리자로 위장한 감시 악성 코드를 잡습니다.
![새로운 도구가 정식 책갈피 관리자로 위장한 감시 악성 코드를 잡습니다. 새로운 도구가 정식 책갈피 관리자로 위장한 감시 악성 코드를 잡습니다.](https://i.joecomp.com/img/security-2018/new-tool-catches-surveillance-malware-masquerading-as-legitimate-bookmark-manager.jpg)
연구원은 Outertech Linkman
위장한 Gmail 피싱 공격으로 가짜 Google 문서 앱
![위장한 Gmail 피싱 공격으로 가짜 Google 문서 앱 위장한 Gmail 피싱 공격으로 가짜 Google 문서 앱](https://i.joecomp.com/img/security-2018/here-s-how-sneaky-gmail-phishing-attack-fooled-victims-with-fake-google-docs-app-3.jpg)
을 사용하여 희생 된 사람들을 속일 수 있습니다. 화요일에 이메일 피싱 공격으로 사용자를 속여 자신의 Gmail 계정에 대한 액세스를 포기하도록했다. Google Docs는 화요일에 부적절한 이메일 피싱 공격에 빠져 사용자를 속여 자신의 Gmail 계정에 대한 액세스를 포기하도록 고안되었다.