近兩年，俄羅斯黑客似乎異常活躍，他們的魔爪伸向了全球范圍內(nèi)各個行業(yè)，尤以屢次干擾政治活動帶來了最為惡劣的影響。

這一次，趨勢科技為我們揭秘了俄羅斯黑客針對谷歌用戶的最新釣魚手段——利用OAuth協(xié)議（第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權(quán)），并冒充谷歌應(yīng)用誘騙用戶落入陷阱。

也就是說，雖然谷歌為用戶設(shè)置了雙重認(rèn)證方式，釣魚攻擊仍然能夠順利進行。

俄羅斯的黑客團體是影響美國與歐洲選舉活動的罪魁禍?zhǔn)祝麄兺ㄟ^誘使受害者主動泄露密碼、甚至竊取訪問令牌的方式黑入重要的電子郵件賬戶。

趨勢科技在其周二的報告中指出，該黑客集團被稱為“Fancy Bear(花式熊)”或“Pawn Storm（pawn風(fēng)暴）”，一般都以發(fā)送釣魚郵件的方式展開攻擊行動。他們的釣魚方式應(yīng)對起來十分棘手，能夠繞過谷歌的雙重驗證。

攻擊的第一步就是假冒谷歌公司的身份發(fā)送虛假郵件，郵件主題是“你的賬戶存在安全風(fēng)險”。

Fancy Bear發(fā)送的釣魚郵件

該電子郵件聲稱谷歌檢測到他們的帳戶出現(xiàn)了幾次異常登錄，建議用戶安裝一個叫作“Google Defender”的安全應(yīng)用程序。

但實際上，這個程序就是個一個陷阱，幫助該黑客組織竊取受害者谷歌帳戶的特殊訪問令牌。受害者將被重定向至一個真實的Google頁面，在不知情的情況下把查看和管理其電子郵件的權(quán)限交給了冒牌的“Google Defener”。也就是說點擊了“允許”的用戶把他們的OAuth令牌移交給了背后的黑客。

雖然OAuth協(xié)議不會泄露密碼信息，但它能夠通過特殊令牌授權(quán)第三方應(yīng)用程序訪問某個互聯(lián)網(wǎng)帳戶。

OAuth協(xié)議設(shè)計的本意是為用戶帶來便利，但安全專家早已發(fā)出警告，該協(xié)議容易被不法分子所利用。在Fancy Bear的案例中，黑客就利用了該協(xié)議來創(chuàng)建虛假應(yīng)用，騙取用戶賬戶的訪問權(quán)限。

前文已經(jīng)提到，雖然谷歌采用了雙重驗證方式，用于阻止惡意的賬戶訪問行為，但這種方式不能完全阻止黑客的入侵。谷歌的雙重驗證功能不僅需要密碼，還需要在登錄時輸入系統(tǒng)西東發(fā)送至用戶綁定手機的驗證碼。這是目前被公認(rèn)為有效的賬戶保護方式。但是Fancy Bear的釣魚手段回避了這一安全措施。他們通過偽造的谷歌安全應(yīng)用欺騙用戶交出訪問權(quán)限。

趨勢科技在其報告中表示：“目前很多用戶都能夠辨識常見的釣魚郵件，但對于這種利用OAuth的釣魚手段往往都是猝不及防。即使接受過專業(yè)信息安全培訓(xùn)的人也有可能上當(dāng)。”

谷歌表示，保護用戶免受這種網(wǎng)絡(luò)釣魚攻擊需采取多種措施。谷歌公司已經(jīng)著手檢測和評估潛在的OAuth濫用行為，并對上千違反谷歌用戶數(shù)據(jù)政策的應(yīng)用（如冒牌的谷歌應(yīng)用）采取強制關(guān)停措施。另外，他們還強調(diào)，用戶應(yīng)直接從谷歌官方網(wǎng)站、Google Play或蘋果的App store下載安裝谷歌應(yīng)用程序。

據(jù)趨勢科技報道，2015年至2016年的受害者很多都遭遇了這種攻擊手段。除了Google Defender，F(xiàn)ancy Bear還仿冒了Google Email Protection和Google掃描器等應(yīng)用程序。他們也通過假冒Delivery Service和McAfee Email protection這些應(yīng)用去欺騙雅虎的用戶。

黑客試圖通過虛假的谷歌第三方應(yīng)用欺騙用戶交出他們email賬戶的訪問權(quán)限

趨勢科技提醒廣大互聯(lián)網(wǎng)用戶千萬不要同意來源不明的OAuth令牌請求。

雖然有時候密碼重置能夠撤銷OAuth令牌，但最好還是檢查一下連接到你電子郵件賬戶的第三方應(yīng)用。可以通過查看郵件賬戶的安全設(shè)置完成這一步驟，必要時撤銷訪問。

Fancy Bear團隊在去年美國民主黨全國委員會的被黑事件中早已臭名昭著。該黑客團隊的攻擊目標(biāo)從政府部門、媒體機構(gòu)到大學(xué)和高級智囊團組織，范圍十分廣泛。