Gisteren werden meerdere gebruikers van Google Docs opgeschrikt door een frappante versie van een phishing-aanval.

Accounts werden benaderd door een op het oog lijkende ‘normale’ e-mail met daarin het verzoek om bestanden te delen. De aanvraag werd verstuurd in naam van iemand uit de contactenlijst van de gedupeerde. Zodra het verzoek geaccepteerd werd, vroeg de app Google Docs om toegang tot de bestanden. Het ging hier echter niet om de officiële Google Docs, maar een kwaadwillende app onder dezelfde naam. Hiermee kregen derden toegang tot de bestanden en contacten van gebruikers. Daarmee kon de spam op hoog tempo verspreid worden naar nieuwe slachtoffers.

Opvallend was het gebruik van de authenticatiestandaard OAuth (Open Authentication). Hiermee krijgt een derde partij via een token toegang tot de account in kwestie, zonder dat de oorspronkelijke gebruiker daarvoor een wachtwoord afgestaan heeft. Dit systeem zou worden gebruikt door de beruchte hackersgroep Pawn Storm. Na een melding op het forum van Reddit, is Google snel in actie gekomen en heeft het bedrijf inmiddels passende maatregelen genomen tegen de phishing-aanval.