Кибермошенники используют новый способ доступа к корпоративной почте в Gmail. Они могут читать переписки и получать данные из других сервисов Google, не взламывая пароль и оставаясь незамеченными в течение длительного времени. Так, компрометация почты происходит, когда сторонние приложения запрашивают доступ к сервисам Google через API. Например, если пользователю нужно синхронизировать данные календаря на мобильном телефоне с электронной почтой. Для подтверждения требуется OAuth-токен. Чтобы получить такой токен и, соответственно, доступ к нужным ресурсам, злоумышленники разработали инструмент Umbrij. Он может запрашивать полный доступ к электронной почте жертвы, облачному хранилищу, контактам и другие разрешения. По данным "Лаборатории Касперского", в случаях когда пользователь не вышел из своего аккаунта в Gmail, браузер сохраняет его сессию авторизации, чем и пользуются атакующие. Они запускают экземпляр браузера, подключаются через отладочный порт и отправляют запросы на получение