Jednou z nových podvodných metod se podle zjištění bezpečnostní společnosti F-Secure stalo zneužívání služby Google Docs Forms, tedy nástavby Google Docs sloužící k automatickému sběru dat do tabulky.
Tento způsob phishingu má pro podvodníky hned několik výhod. Za prvé, pro svůj výtvor mají k dispozici ověřenou doménu s SSL certifikátem nejvyšší kvality (google.com), a tak návštěvníka na možnost hrozby nedokáže upozornit ani ten nejšikovnější prohlížeč. Za druhé, formuláře jsou natolik anonymizované, že v podstatě neexistuje způsob, jak identifikovat a hlavně ověřit jejich skutečného původce. A za třetí, jejich tvorba je velice jednoduchá a rychlá. F-Secure zveřejnilo na svém blogu několik screenshotů phishingových formulářů:
U jednoho formuláře si ani samotná bezpečnostní společnost nebyla jistá, zda jde o phishing, nebo zda jde o původní dílko. Později ji ale kontaktoval zaměstnanec Googlu a potvrdil, že formulář je pravý:
Požádali jsme o komentář Bohuslava Dohnala, zakladatele netmail.cz a autorizovaného resellera Google Apps v České republice: "Jedná se o Google Docs Forms, což je defacto nadstavba ke každé tabulce v Google Docs. Sami tuto funkci používáme na jakékoli formuláře pro sběr dat. Popravdě je to jedna z klíčových vlastností, proč firmy volí Google Docs - tj. snadnost tvorby formulářů a následný automatický sběr dat do tabulky. Službu provozuje Google, běží pod jeho doménou a tudíž i s jejich SSL certifikátem. Formulář je z tohoto pohledu skutečně anonymní, návštěvník nemá šanci zjistit, kdo jej skutečně vytvořil. V patičce každého formuláře je dole odkaz Report Abuse, ale to asi téměř nikdo nepoužije."
Nejde jen o Google Docs
Dohnal zároveň upozorňuje, že ke zneužití cloudových služeb dochází i jinde a že tento typ útoků není zas tak velkým překvapením. "Stejným problémem wildcard SSL certifikátu trpí i Google Apps Engine (např. https://promevogpanel.appspot.com), kde Google už nějakou dobu slibuje možnost hostování vlastních SSL certifikátů, ale zatím, pokud vím, se tak nestalo. Každá skutečně cloudová (tj. komoditní) služba bude tímto typem zneužití dříve či později zasažena," říká.
Jako příklad může posloužit odkaz na relativně nedávnou událost, kdy skupina hackerů ukradla ze Sony Playstation Network data asi 77 milionů uživatelů, včetně hesel jejich účtů nebo adres pobytu. Služba kvůli tomu byla dočasně odstavena, později se navíc ukázalo, že útočníci si pronajali cloudový server přes službu EC2 od Amazonu. Tento postup jim umožňuje dosáhnout naplánovaného efektu s vynaložením mnohem menších nákladů, než kdyby použili vlastní hardware. To nakonec prokázal pokusem s wifi hesly i německý bezpečnostní výzkumník Thomas Roth. V případě útoku na Sony prokazatelně nešlo o první zneužití služby EC2 hackery.
Pokud jde o problémy Google Docs Forms, navrhuje Bohuslav Dohnal jako jedno z možných řešení přidat na každý formulář možnost ověření, stejně jako tomu již nyní je u Google Apps domén. To by alespoň částečně zredukovalo nejistotu, kterou návštěvník anonymizovaného formuláře musí nevyhnutelně trpět. "V poslední době je to již druhý "výpad" na Google od security/antivir firem, před pár dny to bylo TrendMicro s jejich tvrzením, že Chrome OS není bezpečný - zajímavé jsou zejména komentáře čtenářů," dodává Dohnal.
