Ніч з третього на четверте травня 2017 року (за московським часом) видалася для інженерів Google неспокійною. Невідомі зловмисники запустили вельми оригінальну фішингову кампанію , Яка експлуатувала легітимні сервіси та функції Google і з величезною швидкістю, подібно хробакові, поширювалася серед користувачів, маскуючись під посилання на документи Google Docs. На щастя, масової епідемії вдалося уникнути, так як співробітники Google зуміли впоратися з проблемою за кілька годин. Тепер індустрія, користувачі і експерти підводять підсумки того, що сталося.

По-перше, серед фахівців знайшлися люди з гарною пам'яттю, які згадали, що більше п'яти років тому, в жовтні 2011 року, дослідник і розробник Андре Демарре (André DeMarre) попереджав в розсилці IETF про те, що така проблема може виникнути.

«Уявіть, що хтось зареєструє клієнтську програму з OAuth сервісом, давайте назвемо його Foobar, а потім дасть додатком ім'я Google, Inc. Сервер авторизації Foobar буде повідомляти користувачу: "Google, Inc. запитує ваше дозвіл для того-то ". Власник ресурсу може подумати: "Зрозуміло, я обґрунтовано перебуваю на сайті https://www.foobar.com, і Foobar каже мені, що Google потрібен дозвіл. Я довіряю Foobar і Google, тому я гукну дозволити "», - писав Демарре.

По суті, саме це і сталося півтора дні тому, коли шахраї видали свій додаток за Google Docs. Більш того, слід зазначити, що Демарре не тільки розповідав про потенційний вектор атак в розсилці, в 2012 році він також попередив про проблему фахівців Google. За даними Hacker News , Дослідник навіть отримав «скромну винагороду» за виконану роботу, а розробники Google нібито додали захисні механізми, що перешкоджають реалізації подібних атак. Проте вони не вважали за потрібне подбати про механізм валідації URL, тобто вирішили, що не варто, наприклад, зіставляти імена додатків з URL і іменами компаній-розробників.

По-друге, атака з підробленими документами Google Docs, очевидно, показала інженерам Google, що вони серйозно помилилися п'ять років тому. Тому тепер Gmail для Android отримає спеціальну антифішинговий «заглушку» . Ця функція повинна запобігати моментальний перехід по потенційно шкідливим посиланнях.

Тепер, клікнувши на посилання в листі, користувач побачить спеціальне застереження, якщо URL здасться фільтрам Gmail підозрілим. Користувачеві продемонструють повний URL-адресу та попередять про те, що сайт, на який він збирається перейти, швидше за все, належить шахраям, які намагаються вивідати конфіденційні дані і фінансову інформацію. «Заглушка» не завадить перейти за вказаною адресою, але чітко дасть зрозуміти, що користувач робить це на свій страх і ризик.

По-третє, вже знайшлися бажаючі взяти на себе відповідальність за вчорашню атаку. Так 3 травня 2017 року Twitter з'явився користувач @EugenePupov (В даний час аккаунт вже видалено). Він заявив, що є студентом університету Ковентрі, і саме він створив фальшивий додаток Google Docs. За його словами, те, що трапилося не було фішинговою атакою, просто під час тестування сталася помилка, а черв'як створювався в рамках проекту для випускного іспиту.

Was the instigator of today's Google "phishing scam" @EugenePupov and was it just an accident? pic.twitter.com/fI8yPV2V5o

- Troy Hunt (@troyhunt) May 4 2017

Однак експертів і журналістів відразу насторожив той факт, що акаунт був зареєстрований в день атаки, більш того, email-адреса розробника фальшивого додатки був відомий всім: [email protected]. Звідси користувач Twitter, мабуть, і почерпнув ім'я. Дослідники швидко провели просту перевірку - спробували скинути пароль від аккаунта. З'ясувалося, що обліковий запис в Twitter було зареєстровано на зовсім іншу пошту (див. Скріншот нижче).

Журналісти Vice Motherboard пішли ще далі і зв'язалися з представниками вищезгаданого університету, з'ясувавши, що учня з таким ім'ям там немає. Також виявилося, що в якості фотографії профілю невідомий використав фото кандидата біологічних наук Данила Володимировича пупова . Після цього стало очевидно, що хтось намагається пожартувати або дуже невміло видає себе за реального автора фішинговою епідемії, після чого експерти і ЗМІ втратили до «пупова» будь-який інтерес.