GainRep: sigurnosni rizik zamotan u celofan „profesionalnog umrežavanja“
Profesionalna mreža GainRep opasan je spam-stroj koji putem OAuth dozvola otima imenike, može dati pristup kontaktima i slanju pošte – i neopreznog korisnika pretvoriti u spamera
U svijetu kibernetičke sigurnosti, najslabija karika najčešće nije loš vatrozid, već kombinacija ljudske znatiželje i povjerenja u poznate kontakte.
Upravo to koristi GainRep, servis koji se zadnjih dana agresivno širi inboxima. Iako se predstavlja kao legitimna platforma za profesionalne preporuke, GainRep (Gainrep, Gain-Rep) je školski primjer socijalnog inženjeringa koji balansira na rubu klasičnog phishinga.
Anatomija „napada“: zloupotreba OAuth autorizacije
Problem počinje onoga trenutka kada u inbox stigne pozivnica od stvarne, poznate osobe. To nije slučajnost, već rezultat mehanizma koji koristi OAuth 2.0 protokol za autorizaciju. Kada primatelj klikne na gumb „Accept“, biva preusmjeren na stranicu koja traži prijavu putem Google ili Outlook računa.
Ključna zamka krije se u ekranu s dozvolama (Consent Screen). Umjesto samo osnovnih podataka za prijavu (ime i e-mail), GainRep zahtijeva dozvolu za „upravljanje kontaktima“ ili „slanje e-pošte u vaše ime“.
Mnogi korisnici, navikli na brze prijave, mehanički kliknu „Allow“. U tom trenutku, servis ne krade lozinku, već dobiva digitalni „token“ koji mu omogućuje da legalno pretraži imenik i nastavi širiti spam. Sustav je dizajniran tako da u ime korisnika šalje nove serije pozivnica, stvarajući piramidalnu strukturu u kojoj svaka poruka dolazi s potpisom povjerljivog kontakta.
Slovačka veza i „legalni“ spam
Zanimljivo je da se iza platforme krije stvarna infrastruktura. Tvrtka Gainrep s. r. o. službeno je registrirana u slovačkim Košicama, što objašnjava zašto se njihovi podaci pojavljuju u footerima poruka. To im daje privid legitimnosti, no njihova poslovna praksa – automatsko usisavanje imenika bez eksplicitne privole za svaki pojedini kontakt – izravno se kosi s načelima privatnosti i GDPR-a.
Ovdje se ne radi o klasičnom hakiranju u kojem napadač provaljuje u sustav, već o iskorištavanju „rupa“ u korisničkoj pažnji. GainRep koristi vaše povjerenje kako bi mapirao vaš socijalni graf – mrežu aktivnih adresa i njihovih međusobnih odnosa – što je iznimno vrijedna roba za daljnje marketinške ili phishing kampanje.
Povijest se ponavlja: stari trikovi u novom ruhu
GainRep nije izmislio toplu vodu; on samo koristi iskušani recept viralnog rasta koji je svojevremeno proslavio, ali i osramotio neke od najvećih igrača na tržištu. Čak je i LinkedIn 2015. godine morao platiti 13 milijuna dolara odštete zbog funkcije „Add Connections“ koja je, slično GainRepu, slala uporne podsjetnike kontaktima u ime korisnika bez njihove jasne dozvole.
Stariji korisnici sjetit će se servisa Plaxo iz ranih dvijetisućitih. Obećavali su ažurne adresare, a postali su sinonim za spam jer su agresivno zasipali imenike zahtjevima za „ažuriranje podataka“. Tagged i Hi5 su bile mreže koje su koristile obmanjujuće poruke poput „imate privatnu poruku“ kako bi namamile korisnike da nesvjesno podijele svoje lozinke ili pristup kontaktima.
Ovi primjeri pokazuju da se mehanizmi napada ne mijenjaju, već samo platforme. Svima im je zajednička poluga autoriteta pošiljatelja: ljudi će deset puta brže kliknuti na sumnjivu poveznicu ako ona dolazi s adrese kolege, liječnika ili prijatelja.
Kako prepoznati sumnjive OAuth zahtjeve?
Prije nego što se bilo kojoj aplikaciji treće strane odobri pristup, nužno je obratiti pažnju na:
- popis traženih dozvola: Ako karijerna mreža traži pravo na „čitanje, slanje i brisanje vaših e-mailova“ ili „upravljanje kontaktima“, to je crvena zastava.
- URL stranice za autorizaciju: Legitimni OAuth zahtjevi moraju dolaziti s domena poput accounts.google.com ili login.microsoftonline.com, a ne sa sumnjivih poddomena.
Što učiniti ako ste već dali pristup?
Puko brisanje maila ili promjena lozinke neće zaustaviti GainRep, jer je token već dodijeljen. Potrebni su radikalniji koraci:
1. Opoziv dozvola: U postavkama sigurnosti Google ili Outlook računa pod stavkom „Third-party apps with account access“ (Aplikacije trećih strana s pristupom računu) odmah ukloniti GainRep.
2. Čišćenje „reda čekanja“ (Queue): Korisnici na Googleovim forumima prijavljuju da sustav zna staviti pozivnice na čekanje unutar samog GainRep sučelja. Ako je moguće, potrebno se ulogirati izravno na stranicu i obrisati sve „queued“ pozivnice kako bi se zaustavilo daljnje slanje.
3. Provjera mape „Poslano/Sent“: Dobro je provjeriti jesu li u ime korisnika već otišli mailovi i po potrebi obavijestiti ključne kontakte o nenamjernom spamu.
Pravi imunitet: digitalna higijena
GainRep je podsjetnik da se digitalna higijena ne odnosi samo na izbjegavanje virusa, već i na čuvanje pristupa vlastitim podacima.
U svijetu gdje su kontakti valuta, davanje pristupa imeniku nepoznatoj platformi je poput davanja ključeva stana nekome tko tvrdi da samo želi provjeriti vašu „stambenu reputaciju“.
