埃及政府使用Gmail第三方应用程序来欺骗活动分子

国际特赦组织成员表示，埃及当局支持最近一波针对当地人权维护者，媒体和民间社会组织工作人员的鱼叉式网络钓鱼攻击。

大赦国家的专家说，这些攻击采用了一种相对较新的鱼叉式网络钓鱼技术，称为“OAuth网络钓鱼”。

OAuth网上诱骗是指攻击者旨在窃取用户帐户的OAuth令牌而非帐户密码。

当用户授予第三方应用访问其帐户的权限时，该应用会收到OAuth令牌而不是用户的密码。这些令牌作为授权工作，直到用户撤消其访问权限。

大赦国际调查人员说，在最近针对埃及活动分子的鱼叉式网络钓鱼活动中，当局创建了Gmail第三方应用程序，通过这些应用程序，他们可以访问受害者的帐户。

受害者会收到一封看似合法的Gmail安全提醒的电子邮件......

但是当他们点击该链接时，他们会被重定向到第三方应用请求访问其帐户的页面。

一旦受害者授予应用访问其Gmail帐户的权限，该用户就会被重定向到该帐户的合法安全设置页面，在该页面中他们将更改其密码。

即使受害者更改了密码，此时，网络钓鱼者仍然可以通过新获取的OAuth令牌访问该帐户。

这种鱼叉式网络钓鱼活动并不仅限于Gmail，根据国际特赦组织的报告，攻击者还针对雅虎，Outlook和Hotmail用户。

此外，最近的OAuth网络钓鱼活动所针对的目标受害者名单“与2017年发生的另一次鱼叉式网络钓鱼行动有重大关系”，也与埃及当局有关，大赦专家说。

鱼叉式网络钓鱼活动并不令人意外。在过去两年中，埃及政府已经打击了公民自由倡导者，非政府组织和记者。

埃及当局最近通过了一项压制性的非政府组织法律，开始对外资非政府组织进行刑事调查，至少有30名非政府组织的人权和工作人员被禁止旅行，7个非政府组织和10个人的资产被冻结。