Een grootschalige phishing-aanval houdt Google scherpt.
Google laat in een blogpost weten dat ze apps van derden beter gaan controleren. De reactie komt naar aanleiding van een grote phishing-aanval op miljoenen Gmail-accounts.
Phishing
Volgens Google kregen talloze gebruikers van Gmail een nep-mailtje van een contact in hun lijst, waarin een link stond naar een Google Doc. Als een gebruiker op de link klikte, werd hij doorgestuurd naar een applicatie van de boosdoener, waar men vervolgens gebruikersgegevens moest invullen.
Het miljardenbedrijf stelt dat de problemen veroorzaakt door de aanval binnen een uur waren opgelost. Zowel handmatige als geautomatiseerde maatregelen hebben voorkomen dat gebruikers gedupeerd werden. Zo detecteren zelflerende algoritmes volgens Google 99.9% van alle spam. Verder moeten tweestapsverificaties, veiligheidswaarschuwingen en bijlagescans verdere wanpraktijken tegengaan.
OAuth
Gebruikers kunnen door middel van het zogenoemde OAuth-systeem toegang autoriseren voor hun account. Zo kunnen kwaadwillende internetcriminelen bij bepaalde gegevens komen.
Google: “We zetten meerdere stappen om dit soort aanvallen [phishing] tegen te gaan. Zo updaten we ons beleid en de bijbehorende handhaving van OAuth-applicaties, updaten we ons anti-spamsysteem om campagnes zoals deze tegen te gaan en passen we het monitoren van verdachte apps van derden die informatie van de gebruiker vragen aan.”
Zo’n 1 miljoen gebruikers zouden door de aanval getroffen zijn. Google stelt in dezelfde blogpost dat die mensen geholpen zijn en dat verdere aanvallen gemakkelijker voorkomen moeten worden.
