Waarom Google de deur open zet voor phishing
Een miljoen mensen trapten woensdag in een eenvoudige maar sluw opgezette phishingval: een e-mail die zich voordeed als een uitnodiging om een Google Docs-bestand te openen. Het bericht deed de ronde op Googles mailservice Gmail. Elke keer als iemand in het phishingbericht trapte, kreeg de malware de toegang tot een nieuwe lijst aan contacten, waar het zichzelf naartoe stuurde uit naam van degene die zich had laten vangen. Deze tactiek is eigen aan computerwormen en bijna zo oud als het internet zelf, en toch blijft het nog altijd lonend om ze toe te passen.
Dat de aanval zo veel mensen wist te misleiden, is voor een groot deel te wijten aan Googles specifieke visie op software. De phishing-aanval van gisteren was simpel maar effectief en gebruikte Googles eigen sterkte tegen zichzelf. Nemen we de aanval onder de loep, dan zien we twee belangrijke mechanismes die ervoor zorgden dat Gmail-gebruikers geen onraad roken.
Open doel
De eerste van die mechanismes was de mail. Het merendeel van phishingtrucs poogt mensen om de tuin te leiden via mail, maar hier maakten de cybercriminelen slim gebruik van Googles eigen routines. Wanneer de technologiereus je iets te melden heeft, dan stuurt het je ook een mail; geen speciale pop-up of notificatie. E-mail is een open protocol; het is heel eenvoudig om het uitzicht van een bepaald bericht te imiteren en er is ook weinig dat je daar aan kan doen. Er is geen manier om je eigen lay-out te beschermen tegen misbruik. Een mailpatent bestaat vooralsnog niet.
[related_article id=”213797″]In het geval van de Google Docs-phishingmail waren er enkele details die de misleiding weggaven. Het onderwerp van de e-mail was “X has shared a document on Google Docs with you”. Een officiële uitnodiging van Google zou beginnen met de naam van het document, maar de regel klinkt vertrouwd genoeg om de meeste mensen niet op te vallen. De knop in de e-mail om naar het ‘document’ te gaan had een ongewone link voor wie de moeite nam om met zijn muis over de knop te zweven. Alhoewel ongewoon: de naam Google werd verschillende keren in de URL vermeld, wat een niet alerte gebruiker zou geruststellen.
OAuth
Het tweede mechanisme dat mensen in de val lokte, was de login-pagina. Hier moesten de cybercriminelen geen imitatievaardigheden bovenhalen, want het was gewoon een echt aanmeldingsvenster van Google. De phishers creëerden een app met de naam ‘Google Docs’ en gebruikten het officiële OAuth-protocol waarmee gebruikers op een app kunnen inloggen met hun Google-account. Het is een functie die door talrijke apps wordt gebruikt om inloggen eenvoudiger te maken. Google controleert niet wie dit protocol implementeert. Iedereen kan een OAuth-applicatie maken. Er zijn geen moderators die bepaalde ontwikkelaars bannen omdat ze het protocol gebruiken voor een spamcampagne.
Mijnenveld
Dat laatste is geen nalatigheid, maar gewoon een fundamenteel onderdeel van Googles visie op software: houd alles zo open mogelijk, en verweef die open protocollen in zoveel mogelijk diensten. Dit verhoogt gebruiksvriendelijkheid en de adaptiviteit van Googles software. Waar tegenpool Apple een speciaal loginproces hanteert voor zijn eigen apps, maakt het Google niet uit of zijn aanmeldingsscherm ook voor obscure applicaties gebruikt wordt.
Dat dit ook een duidelijke schaduwkant heeft, toont de Google Docs-aanval duidelijk aan: een gebruiker die vertrouwd is met de Google-protocollen, heeft het niet door wanneer hij of zij onwetend in een digitaal mijnenveld belandt. De phishing-aanval van gisteren was relatief onschuldig. De volgende keer kan een stuk erger uitdraaien. Dit is niet om te zeggen dat Google terug een stuk geslotener moet worden; het open ecosysteem heeft zijn waarde meermaals bewezen, kijk maar naar de populariteit van Android en Google Chrome. Dit neemt niet weg dat er een duidelijke kwetsbaarheid zit in het systeem die we niet uit het oog mogen verliezen.
