Кратко

Расследование «Лаборатории Касперского» выявило механизм несанкционированного доступа к корпоративной почте через сохранённую сессию и API Gmail, позволяющий незаметно читать переписки и собирать данные Google. Угроза охватывает крупные российские фирмы, а потенциальные цели — миллионы пользователей. В отчёте отмечаются риски и механики атак, использованные хакерами на базе Chromium-браузеров.

Автор видео: Хакерский Стиль

Что известно

Лаборатория Касперского выявила механизм несанкционированного доступа к корпоративной почте Gmail через сохранённую сессию и API, позволяющий читать переписки и собирать данные сервисов Google. Потенциально под удар попадают миллионы пользователей в России и за её пределами. По данным источников, атаки связаны с китайской кибергруппировкой ToddyCat и затрагивают пользователей браузеров на движке…

Исследование кибербезопасности, проведённое специалистами «Лаборатории Касперского», выявило новый путь несанкционированного доступа к корпоративной почте через Gmail. Злоумышленники могут поддерживать активную сессию авторизации и через отладочные интерфейсы отправлять запросы к Gmail, что даёт возможность незаметно читать переписку и собирать данные из календаря и других сервисов Google. В рамках обнаружения также упоминается использование API Gmail для получения несанкционированного доступа к корпоративной почте.

По предварительным выводам экспертов, данный метод эксплуатации в первую очередь актуален для компаний, чьи сотрудники не вышли полностью из своих учётных записей. Это позволяет атакующим обходить обычные механизмы выхода из аккаунтов и продолжать мониторинг переписок даже при предположении, что корпоративный доступ корректно завершён на уровне пользователя. Подобная тактика может быть применена в рамках атак на крупные российские фирмы, что ставит под угрозу конфиденциальность переписки и связанных с ней данных календаря и документов.

Угрозы, связанные с использованием сохранённых сессий и интеграций через API, поднимают вопросы о защите учётных записей и необходимости усиления мер контроля за доступом к корпоративным почтовым ящикам. Эксперты рекомендуют перевести критические сервисы на многофакторную аутентификацию, регулярно обновлять политики доступа и проводить аудит приложений, имеющих интеграцию с почтовыми сервисами. Важно также следить за активностью в браузерах на базе Chromium и ограничить использование неавторизованных или подозрительных расширений и скриптов, которые могут хранить или повторно использовать сессии.

Проверка фактов Подтверждено

подтверждено: 3.

  • Подтверждено

    Через API злоумышленники получают несанкционированный доступ к корпоративной почте Gmail, незаметно читают переписки и собирают данные из календаря и других сервисов Google.

  • Подтверждено

    По данным издания «Ведомости» под угрозой может оказаться около 40,8 млн пользователей Gmail в России.

  • Подтверждено

    Атакующие используют сохраненную активную сессию авторизации и отправляют запросы к сервисам Google через отладочный порт браузера.

Источники и обновления