谷歌在线文档出现大规模钓鱼攻击诱骗账户授权
日前谷歌在线文档出现了大规模含有钓鱼链接的文档诱骗用户点击,而在这次事件中攻击者的套路有所变化。
通常情况下钓鱼攻击最终会诱骗用户在伪造的网页上输入账号密码, 用户提交那么账号密码就会发送给黑客。
而在本次攻击中攻击者换了个套路制作了类似谷歌文档的应用, 用户点击后会要求使用谷歌账号对应用授权。
这非常类似于我们使用 QQ 或者是微博登录第三方网站,当给予授权那么对应的网站则会获得用户账户权限。
利用这些权限虽然不可以直接登录谷歌账号但也可以登录谷歌邮件, 攻击者利用谷歌邮箱群发邮件扩大规模。
当然最终的钓鱼链接完全随着攻击者控制而变更, 幸好谷歌及时发现这个问题直接封锁了涉事的第三方应用。
尽管国内用户不大可能会受到该事件的影响, 不过这也算是给我们日常使用各种账号快捷登录授权提了个醒。
蓝点网之前曾发布过文章称部分微博第三方应用会利用权限操作用户微博, 实际上这些套路也都是极为类似。
因此各位在使用 QQ 和微博登录第三方网站时应当注意权限问题,对于不必要的权限不应该提供或不要登录。