Penipuan Google Documents Masih Menimbulkan Ancaman


Pada Mei 2017, serangan phishing yang sekarang dikenal sebagai “worm Google Docs” tersebar di internet. Itu menggunakan aplikasi web khusus untuk meniru Google Documents dan meminta akses mendalam ke email dan daftar kontak di akun Gmail. Penipuan itu sangat efektif karena permintaan tampaknya datang dari orang-orang yang dikenal target. Jika mereka memberikan akses, aplikasi akan secara otomatis mendistribusikan email penipuan yang sama ke kontak korban, sehingga melanggengkan worm. Insiden itu akhirnya memengaruhi lebih dari satu juta akun sebelum Google berhasil menahannya. Namun, penelitian baru menunjukkan bahwa perbaikan perusahaan tidak cukup jauh. Penipuan viral Google Documents lainnya bisa terjadi kapan saja.

Phishing dan scam Google Workspace memperoleh sebagian besar kekuatannya dari memanipulasi fitur dan layanan yang sah untuk tujuan yang melecehkan, kata peneliti keamanan independen Matthew Bryant. Target lebih mungkin terkena serangan karena mereka memercayai penawaran Google. Taktik ini juga sebagian besar menempatkan aktivitas di luar lingkup alat antivirus atau pemindai keamanan lainnya, karena berbasis web dan memanipulasi infrastruktur yang sah.

Dalam penelitian yang dipresentasikan pada konferensi keamanan Defcon bulan ini, Bryant menemukan solusi yang berpotensi digunakan penyerang untuk melewati perlindungan Workspace Google yang ditingkatkan. Dan risiko pesta pora Google Workspace tidak hanya teoretis. Sejumlah penipuan baru-baru ini menggunakan pendekatan umum yang sama dalam memanipulasi pemberitahuan dan fitur Google Workspace yang sebenarnya untuk membuat tautan atau laman phishing terlihat lebih sah dan menarik bagi target.

Bryant mengatakan semua masalah itu berasal dari desain konseptual Workspace. Fitur yang sama yang membuat platform fleksibel, mudah beradaptasi, dan diarahkan untuk berbagi juga menawarkan peluang untuk disalahgunakan. Dengan lebih dari 2,6 miliar pengguna Google Workspace, taruhannya tinggi.

“Desain memiliki masalah di tempat pertama, dan itu mengarah ke semua masalah keamanan ini, yang tidak bisa diperbaiki begitu saja — kebanyakan dari mereka bukan perbaikan satu kali ajaib,” kata Bryant. “Google telah melakukan upaya, tetapi risiko ini berasal dari keputusan desain tertentu. Peningkatan mendasar akan melibatkan proses menyakitkan yang berpotensi merancang ulang hal-hal ini. ”

Setelah insiden 2017, Google menambahkan lebih banyak batasan pada aplikasi yang dapat berinteraksi dengan Google Workspace, terutama yang meminta semua jenis akses sensitif, seperti email atau kontak. Individu dapat menggunakan aplikasi “Apps Script” ini, tetapi Google terutama mendukungnya sehingga pengguna perusahaan dapat menyesuaikan dan memperluas fungsionalitas Workspace. Dengan perlindungan yang diperkuat, jika aplikasi memiliki lebih dari 100 pengguna, pengembang harus mengirimkannya ke Google untuk proses peninjauan yang sangat ketat sebelum dapat didistribusikan. Sementara itu, jika Anda mencoba menjalankan aplikasi yang memiliki kurang dari 100 pengguna dan belum ditinjau, Workspace akan menampilkan layar peringatan mendetail yang sangat menghambat Anda untuk melanjutkan.

Bahkan dengan perlindungan itu, Bryant menemukan celah. Aplikasi kecil tersebut dapat berjalan tanpa peringatan jika Anda menerima yang dilampirkan ke dokumen dari seseorang di organisasi Google Workspace Anda. Idenya adalah Anda cukup memercayai rekan kerja Anda sehingga tidak perlu repot dengan peringatan dan peringatan yang ketat. Jenis pilihan desain itu, bagaimanapun, meninggalkan celah potensial untuk serangan.

Misalnya, Bryant menemukan bahwa dengan membagikan tautan ke Google Doc yang memiliki salah satu aplikasi ini terlampir dan mengubah kata “edit” di akhir URL menjadi kata “salin”, pengguna yang membuka tautan akan melihat prompt “Salin dokumen” yang menonjol. Anda juga dapat menutup tab, tetapi jika pengguna menganggap dokumen itu sah dan mengklik untuk membuat salinan, mereka menjadi pembuat dan pemilik salinan tersebut. Mereka juga terdaftar sebagai “pengembang” aplikasi yang masih tertanam dalam dokumen. Jadi, ketika aplikasi meminta izin untuk menjalankan dan mendapatkan akses ke data akun Google mereka—tidak ada peringatan yang ditambahkan—korban akan melihat alamat email mereka sendiri di prompt.

Tidak semua komponen aplikasi akan disalin dengan dokumen, tetapi Bryant juga menemukan cara untuk mengatasinya. Penyerang dapat menyematkan elemen yang hilang di versi “makro” otomatisasi tugas Google Workspace, yang sangat mirip dengan makro yang sering disalahgunakan di Microsoft Office. Pada akhirnya, penyerang dapat membuat seseorang dalam suatu organisasi mengambil alih kepemilikan dan memberikan akses ke aplikasi berbahaya yang pada gilirannya dapat meminta akses ke akun Google orang lain dalam organisasi yang sama tanpa peringatan apa pun.

Diposting oleh : SGP Prize