Om du inte kan lita på en officiell Google-inloggningssida, vad kan du då lita på, va? En innovativ nätfiske-bedrägeri spred sig kort som en löpeld idag innan den avslöjades av Google – den använde företagets egen säkerhet mot intet ont anande användare.
Så här fungerade det. Kedjan skulle börja med att du fick ett oönskat e-postmeddelande från en känd kontakt. Det såg ut som standarden ”inbjudan att se ett dokument” som tvångsmässiga användare av Google Dokument kommer att känna till mycket väl. Så långt, så nätta.
Men till skillnad från traditionella nätfiskeattacker som försöker locka bort personliga detaljer ur dig med en officiellt utseende imitationssida, tog denna listiga bluff dig till ett äkta Google-inloggningsfönster. När du väl loggat in gav du oavsiktligt åtkomst till en skadlig tredjepartsapp (med listigt namn ”Google Docs”), vilket gav den åtkomst till dina kontakter och e-post, vilket förlängde bluffen längre. Det enda sättet att se dess bluffiga karaktär var att markera Google Docs-namnet och se den verkliga e-postadressen gömma sig, vilket visas i denna tweet:
Google är medvetet om problemet och har redan vidtagit åtgärder för att täppa till kryphålet, skriver i ett uttalande om dess Produktforum som: ”Vi har vidtagit åtgärder för att skydda användare mot ett e-postmeddelande som utger sig för att vara Google Dokument och har inaktiverat stötande konton. Vi har tagit bort de falska sidorna, skickat uppdateringar genom Säker webbsökning och vårt missbruksteam arbetar för att förhindra att den här typen av spoofing händer igen. Vi uppmuntrar användare att rapportera nätfiske-e-postmeddelanden i Gmail.”
Bara för att de kända skadliga apparna har stängts betyder det inte att ett annat liknande exploateringskonto inte kunde öppnas – så var vaksam.
Om du tror att du blev tagen av bluffen, gå till Googles säkerhetssida, och ta bort alla anslutna appar som ser fiskiga eller nätfiska ut.
