谷歌公司G Suite Developers博客上的一篇文章写道:为应对5月网络钓鱼蠕虫对谷歌云端存储的攻击,谷歌增加了一层额外的保护层,以防止自动化插件获取个人信息。
此次网络钓鱼攻击表现为系统接收了一封邮件,邀请用户编辑一份Google文档(Google Doc)。当云端存储用户允许插件登录虚假而又具有攻击性的应用程序时,插件就会获取用户的通讯录,并将网络攻击快速扩散开来。据The Verge报道,谷歌宣称仅有0.1%的云端存储用户遭受了此次攻击,但这个数字约等同于1百万。
此次谷歌推出的反网络钓鱼工具是一个会提示“未经验证”的应用程序,这个应用程序会在用户的显示屏上显示,从而提醒用户插件未经验证,因此授权此插件访问谷歌云端存储或电子邮件可能是不安全的。
深入分析
大多数的网络攻击,无论是存在于企业中的还是消费者中的,都是人为错误导致的。网络钓鱼计划,多利用一些漏洞,如此次这个,便大大地利用了用户的信任。Gannett的人力资源部门近来就因请求了虚假的W-2,从而陷于网络钓鱼陷阱中,泄露了雇员的个人信息。
OurMine,迄今一家非常成功的黑客组织,它们能够通过不同的方法获取用户的信息。据Wired报道,OurMine宣称是他们黑掉了谷歌CEO Sundar Pichai的个人推特和Quora账号。OurMine的一名匿名人士告诉Wired,他们发动此次攻击的唯一目的是揭示个人隐私安全的缺失,“没有人是安全的”,因此,他们的主要攻击目标是如Pichai和Mark Zuckerberg等大型知名公司。
在谷歌这个案例中,一个身份不明的第三方发送了此插件。因此,谷歌希望通过增加一层额外的自动化保护层,以显示它们会对安全问题保持高度关注。各公司也比以往任何时候都意识到了网络安全风险的存在,那些不愿意采取安全措施的公司将会面临详细的审查以及由此衍生出来的潜在的合法审查,从而防止数据外泄。谷歌计划将这一新的验证特性用于现有和未来应用程序上。