Jeżeli odbiorca takiej wiadomości kliknie w „Open in Docs”, to trafi na prawdziwą stronę Google, z pytaniem, którego konta chce użyć. Gdy odbiorca nie kliknie na link tylko od razu wybierze konto, to dowie się, że aplikacja Google Docs chce czytać jego pocztę i zarządzać kontaktami. Niby wszystko jest w porządku, ponieważ jest to strona i aplikacja Google, ale po wybraniu opcji „Allow” odbiorca wiadomości oddaje dostęp do swojego konta przestępcom. Nie pomoże wtedy nawet zmiana hasła.
Przestępcy wykorzystali w tym ataku sztuczkę polegającą na kradzieży tokenu OAuth, który pozwala użytkownikom na dostęp do danych bez konieczności podawania hasła. Tworzą aplikację, którą nazywają na przykład Google Docs, następnie zgłaszają ją do Google by mogła poprosić użytkowników o tokeny OAuth w celu uwierzytelnienia. W kolejnym kroku wysyłają phishing, w którym wskazują na link prowadzący do procesu uwierzytelnienia aplikacji. Link wygląda wiarygodnie, ponieważ prowadzi do serwerów Google. Jeśli ktoś zgodzi się przyznać jej dostęp do swojej poczty, przestępcy dostają token OAuth, za pomocą którego mogą kontrolować pocztę.
Nawet gdy ofiara ataku zmieni swoje hasło, przestępcy nadal będą mieli dostęp do jej konta. Aby zabezpieczyć swoje dane trzeba odwiedzić listę aplikacji, które mają dostęp do konta Google, a następnie usunąć z niej wszystkie podejrzane pozycje (lub usunąć wszystkie a następnie dodać te potrzebne z zaufanych źródeł). Przestępcy wykorzystują w ataku dziesiątki różnych domen typu: docscloud|g-cloud|g-docs|gdocs.download|info|win|pro.
Ataki phishingowe są najbardziej popularną formą cyberprzestępczości, ponieważ phishing często prowadzi do prawdziwych strat finansowych. Dlaczego phishing działa? Najlepszym sposobem na zwabienie ofiar do oszustwa phishingowego jest bezpłatna oferta. Phisher może także wykorzystać zamieszanie wokół jakiegoś tematu lub wydarzenia. Aby trafić do tych użytkowników, którzy są bardziej świadomi oszustw phisherów, cyberprzestępcy używają jeszcze innego skutecznego narzędzia, posiadającego ogromny zasięg dzięki kontom przyjaciół ofiar. Według firmy Kaspersky Lab w 2013 roku ponad 35% powiadomień modułu antyphishingowego to reakcja na strony phishingowe podszywające się pod serwisy społecznościowe. Z ponad 600 milionów wykrytych prób dostępu do stron phishingowych 22% przypadków stanowiły fałszywe strony do Facebooka. Oszuści grożą swojej ofierze zablokowaniem jej profilu lub nawet konta bankowego, uzywając też tzw. „vishingu” (lub phishingu głosowego, wykonywanego przez telefon). Jednym z głównych powodów skuteczności phishingu jest nieustanna ewolucja techniki instrumentów phishingowych. Fałszywe strony są trudne do odróżnienia od oryginalnych, wiele z nich ma całkiem sensowne nazwy domen i, w niektórych przypadkach, posiadają bezpieczne połączenie HTTPS z oryginalnymi certyfikatami. Skutecznie działa również phishing mobilny, gdyż z powodu mniejszego ekranu trudniejsze jest odróżnienie oszukańczej strony od oryginalnej. Podczas przeprowadzania ataku phishingowego cyberprzestępca nie musi włamać się do systemu. Z tego powodu żadna istniejąca platforma nie jest w pełni odporna na phishing, a sam phishing jest atakiem uniwersalnym. W większości przypadków phisherzy polują na dane finansowe. (Źródło: www.kaspersky.com)
