Sicurezza online: il caso del worm Google Docs

Oltre a Wannacrypt, alcune settimane fa un sofisticato attacco phishing, destinato quindi all’acquisizione non autorizzata di informazioni sensibili, ha generato preoccupazione tra gli utenti del Web, soprattutto statunitensi. Il metodo escogitato dagli hacker è stato successivamente neutralizzato ma è interessante analizzarne l’idea alla base per comprendere come, al giorno d’oggi, le minacce online si evolvano molto rapidamente trovando inedite ed ingegnose soluzioni.

Ad ispirare  probabilmente la pericolosa campagna malevola di Google Docs una delle tecniche utilizzate fin dal 2016 da Pawn Storm, un gruppo specializzato in campagne phishing mirate ad obiettivi di alto profilo (Al Jazeera, il partito politico tedesco CDU, il parlamento ed il governo turco etc.) e del quale ha parlato recentemente anche Trend Micro.

Google Docs Worm

Lo schema mostra le varie fasi dell’attacco phishing via OAuth. Fonte: Trend Micro.

Lo figura 1 spiega chiaramente le varie fasi di preparazione e svolgimento dell’attacco phishing in questione che sfrutta intelligentemente il noto sistema di autenticazione OAuth, uno standard aperto che autorizza applicazioni di terze parti ad accedere ai dati dell’utente presenti su un altro sito (es: gli ormai diffusi inviti a registrarsi o usufruire di un servizio effettuando il login con le credenziali Google+ o Facebook) ma senza che venga rivelata alcuna password.

Per prima cosa i malintenzionati devono trovare un internet service provider (ISP) che non effettui controlli troppo approfonditi sulle applicazioni che si desiderano associare ad OAuth e richieda solo alcune informazioni base (come l’URL del sito ed un indirizzo email valido); il passo successivo è quello di confezionare una email da inviare al bersaglio. Nel caso in cui la vittima conceda l’autorizzazione via OAuth, modificare la password del proprio account sarà inutile: solo con la revoca del token l’applicazione non avrà più accesso ai dati dell’utente.

Nel paragrafo successivo, grazie agli screen forniti da un redattore di Ars Technica, vedremo il worm in azione.

Google Docs worms in azione

Il messaggio “esca” è stato inizialmente inviato ad un ristretto numero di obiettivi (reporter/giornalisti) e presentato come un’innocua richiesta di condivisione documenti su Google Docs – da parte di un familiare o un conoscente. Il contenuto dell’email, che riprende in maniera abbastanza fedele la struttura dei messaggi inviati dal servizio Mountain View, richiede prevedibilmente la visione del file su browser, incentivando il destinatario a cliccare sul bottone “Open in Docs” – come del resto ovviene ogni volta che si compie un’operazione del genere.

Google Docs Worm

Messaggio lecito ed illecito a confronto. Le email fake inseriscono sempre l’indirizzo del bersaglio “in copia”. Fonte: Ars Technica.

Nella schermata successiva, l’utente si ritrova davanti ad un altrettanto familiare procedura di autorizzazione. La pagina non è stata creata dai malintenzionati ma è messa a disposizione dalla stessa Mountain View che fornisce, a chi ne volesse fare uso, gli strumenti per appoggarsi al sistema di autenticazione OAuth – abbastanza diffuso online perchè consente di utilizzare servizi/applicazioni o registrarsi ad un sito in pochi clic.

Google Docs Worm

Ed ecco la familiare schermata del servizio di autenticazione Google. Come già detto la pagina è “reale” e non un fake. Fonte: Ars Technica.

Per procedere alla lettura del documento, “Google Docs” richiede l’accesso alle email memorizzate nella casella di posta ed a tutti i contatti in rubrica. In teoria niente di pericoloso, se non si trattasse di un inganno ben congegnato per reindirizzare l’utente ad un indirizzo esterno e carpire tutti gli indirizzi della rubrica – che riceveranno naturalmente il medesimo messaggio di condivisione “contraffatto”, ampliando considerevolmente il raggio d’azione del worm.

Google Docs Worm

Prestando più attenzione si scopre il vero mandate del messaggio di condivisione. Fonte: Ars Technica.

La terza immagine svela la natura malevola del messaggio. Cliccando sul piccolo triangolo situato alla sinistra della frase “Google Docs like to” appare infatti il vero mandante del messaggio di condivisione – che non è naturalmente Google Docs.

Fonti: 1, 2