211service.com
Het beveiligingsgat van Gmail kan leiden tot massale oogst van accounts
Een techniek die door marketeers wordt gebruikt om mensen te misleiden om zich aan te melden voor gratis merchandise, kan gemakkelijk opnieuw worden ingezet als een motor voor het verzamelen van onnoemelijke aantallen Google-accountwachtwoorden. Het oplossen van het probleem is niet triviaal voor Google, omdat de exploit essentieel is voor de manier waarop Google gebruikers in staat stelt de toegang tot hun accounts te herstellen wanneer ze hun wachtwoorden verliezen of vergeten.

De accountherstelprocedure van Google kan het voor gebruikers onduidelijk maken dat ze hackers volledige toegang tot hun account geven
Terwijl anderen hebben gerapporteerd over het gebruik van deze exploit door individuele hackers, geloof ik dat wat je nu leest het eerste verslag is van hoe het kan worden omgezet in een massale phishing-zwendel die zelfs relatief geavanceerde gebruikers zou kunnen slepen.
de hack
Onlangs ontvingen mijn vrouw en ik allebei, binnen een uur na elkaar, een sms als deze:
Je inzending van vorige maand is GEWONNEN! Ga naar http://xxxxxx voer uw winnende code in: 1122 om uw GRATIS $ 1.000 Best Buy Giftcard te claimen!
Onze telefoonnummers zijn bijna identiek, dus het feit dat we deze sms allebei in korte tijd hebben ontvangen, suggereert dat iemand het automatisch naar elk nummer in een bepaald bereik stuurt, de een na de ander. Wat het klassieke tekstspam zou maken, vervelend maar op zichzelf niet gevaarlijk.
De URL in de tekst gaat naar deze website, http://bestbuy.bestgiftcardsforu.com/ die om uw e-mailadres vraagt. De site lijkt gelieerd aan (of linkt in ieder geval naar en leent tekst van) MyRewardsClub.com . Ik denk niet dat deze mensen hackers zijn, maar marketeers.
Maar hier is hoe hackers dit marketingschema kunnen omzetten in een wachtwoord-oogstschema: nadat gebruikers hun e-mailadres hebben ingevoerd, als het een Gmail-adres is, kunnen hackers automatisch vragen dat Google een accountverificatiecode naar de mobiele telefoon van de eigenaar van dat Gmail stuurt. adres. Dit is wat Google doet als je zegt dat je je wachtwoord bent vergeten - een van de drie opties om het te herstellen is om een verificatiecode te laten sturen naar het mobiele telefoonnummer dat aan je account is gekoppeld.
Om ervoor te zorgen dat de gebruiker zijn beloning kan claimen (in dit geval een nep-cadeaubon van $ 1000), kan de site hem vervolgens vragen om de verificatiecode in te voeren die Google naar de telefoon van de gebruiker heeft gestuurd. Zodra de site zowel het Gmail-adres van een gebruiker als die verificatiecode heeft, is het game over - hackers kunnen de code gebruiken om in te loggen op dat account en het wachtwoord onmiddellijk te wijzigen, waardoor ze toegang krijgen en de gebruiker uitsluiten van hun eigen account.
Andere voorbeelden van de hack
Deze exploit lijkt precies de manier te zijn waarop een hacker toegang heeft gekregen tot een aantal accounts tijdens het verkrijgen van afbeeldingen voor de website Is Any Up, zoals beschreven door Camille Dodero in een recente functie voor de Village Voice :
Is het echt zo gemakkelijk om een Gmail-account te hacken? Overtuig uzelf: Ga naar het Gmail-inlogscherm en klik op de vaak genegeerde link onder het inlogmenu. Geen toegang tot uw account? Er verschijnen drie opties; kies Ik ben mijn wachtwoord vergeten. Typ een Gmail-adres (elk actief Gmail-adres) en als er een telefoonnummer aan het account is gekoppeld, krijgt u nog drie opties, waaronder Een verificatiecode op mijn telefoon ophalen. Je hoeft het telefoonnummer niet eens te weten. Druk gewoon op Doorgaan en er verschijnt een niet-gerelateerde zescijferige code in een sms naar de telefoon van de accounteigenaar. Typ die verificatiecode in - een nummer dat gemakkelijk kan worden verkregen door een vermomde e-bedrieger - en je bent binnen. Het eerste dat je wordt gevraagd, is onmiddellijk je wachtwoord wijzigen, waardoor de oorspronkelijke eigenaar wordt geblokkeerd.
Met andere woorden, als een hacker alleen je Gmail-adres kent en kan achterhalen hoe hij toegang kan krijgen tot je telefoon, is hij al grotendeels in je shit.
In het geval van de hacker die afbeeldingen verzamelt voor Is Everyone Up, blijkt dat hij of zij via Facebook met doelen heeft gechat.
Een steeds vaker voorkomend phishing-schema
Deze aanval is door anderen gebruikt en kan wijdverbreid zijn. Lokesh Singh , een professionele hacker, beschrijft op de site HackingLoops hoe een van zijn klanten werd het slachtoffer van dezelfde hack , alleen de aanvaller gebruikte Gchat om het slachtoffer te overtuigen de verificatiecode te overhandigen die Google hem had ge-sms't.
Met andere woorden, waar Google en zijn gebruikers mee te maken hebben, is een phishing-schema dat zelfs lijkt te werken bij relatief geavanceerde gebruikers, of in ieder geval het soort dat slim genoeg is om niet op willekeurige links in spam-e-mails te klikken. Maar wat ik aan het begin van dit stuk beschreef, tilt deze aanval mogelijk naar een heel nieuw niveau, voorbij arbeidsintensieve hacks van individuele accounts en naar het rijk van geautomatiseerde, grootschalige wachtwoordverzameling.
Het is geweldig dat Google een manier heeft voor gebruikers om de toegang tot hun Gmail-accounts te herstellen die afhankelijk is van een secundair apparaat waar hackers bijna nooit toegang toe hebben: de mobiele telefoon van een gebruiker. De zwakke schakel is, zoals altijd, de mens die al toegang heeft tot al hun zogenaamd veilige contactpunten - de gebruiker zelf. Misschien kan deze aanval worden gedwarsboomd door eenvoudigweg het bewustzijn te vergroten dat: niemand mag ooit zijn Google-verificatiecode overhandigen .