Spam w Google Docs. Najciemniej pod latarnią?
Kampanie mailowe przestają być skuteczne, przeglądarki internetowe wzbogacają się o blokery reklam, a mobilne systemy operacyjne stosują kontrolę mechanizmów reklamowych, więc spamerzy muszą stawać się coraz bardziej kreatywni. Ponieważ kontrolę nad mechanizmami reklamowymi sprawuje de facto Google (oraz już wkrótce Apple, na swoich urządzeniach), kwestią czasu było, by autorzy uporczywych kampanii reklamowych nauczyli się wykorzystywać chmurowe narzędzia Google, zamiast próbować wykorzystywać DoubleClick lub omijać wszelkie uBlocki.
Nowa kampania korzysta z przewagi, jaką maile usług Google mają w skrzynce pocztowej GMail: istnieje bardzo nikła szansa, że wylądują w spamie. Poczta twierdzi w dodatku nie tylko, że mail jest wartościowy, ale także że jest bezpieczny. Pochodzi wszak z Google. Jeżeli zatem da się skłonić Google do wysłania maila odsyłającego do reklam, ktoś na pewno spróbuje to osiągnąć.
Czy gdzieś jeszcze nie ma spamu?
Okazuje się to dość proste. Wystarczy założyć udostępniony dokument na platformie Google Docs, a następnie dodać do niego komentarze. W komentarzu należy wpisać adres e-mail odbiorcy spamu. Platforma Google Docs wyśle wskutek owych czynności maila o treści "Wspomniano o tobie w dyskusji nad dokumentem". Co więcej, stosowne powiadomienie wyświetli także aplikacja Dysk Google, na telefonie z Androidem sprzężonym z kontem odbiorcy.
Dokument do którego dodano komentarze to plik PDF z linkiem do innej strony. Stroną tą, linkowaną przez TinyUrl, jest Blogger, kolejny produkt Google. Strona ta stosuje skrypt, którym otwiera nowe okno (nie pop-up! Te bowiem od lat już nie działają). Okno to przekierowuje na właściwy cel kampanii, jakim jest szemrany portal randkowy. Działa on zapewne na klasyczną modłę i sam z siebie nie jest godny uwagi...
Jakie to ma znaczenie
Dlaczego warto wspomnieć o tym rodzaju spamu? Ponieważ ukazuje on pewien ślepy punkt w modelu zaufania. Infrastruktura pocztowa bezwarunkowo ufa mailom z Google. Powiadomienia z aplikacji Drive również dodają wiarygodności i skłaniają do kliknięcia. A Google nie zauważa, że coś jest nie tak, bowiem wciąż funkcjonuje domniemanie, że automatyzacja tworzenia kont i dokumentów jest zbyt żmudna, by była opłacalna. Przekonanie to staje się coraz mniej zgodne z prawdą, tymczasem to o nie oparty jest tu model bezpieczeństwa.
To nie pierwszy pomysł wykorzystania chmury dokumentów Google do niecnych celów. Swego czasu próbowano osiągnąć zbliżony cel, wstawiając ludziom wydarzenia do kalendarzy. Dziś jest to już utrudnione. Trik z komentarzami będzie nieco trudniej ukrócić, ale w dobie masowej pracy z domu, Google będzie musiał nad tym pomyśleć.
