Nowy, wysoko skuteczny atak na użytkowników Gmaila. Nie daj się podejść!

Tym razem nie jest to bezczelny phishing kierujący bezpośrednio do dziwnie wyglądającej domeny, na której jest hostowana niby strona ze zmianą hasła do Google.

W tym przypadku mamy do czynienia z mailem często wysłanym od znajomego, którego konto zostało właśnie przejęte. Mail zawiera załącznik (często mało podejrzany) z plikiem lub grafiką, który jest de facto URL-em.  Aby całość uwiarygodnić, atakujący pobierają dodatkowo oryginalny tytuł (tytuły) z historii przejętego konta.

URL wygląda mniej więcej tak jak poniżej (wykorzystuje data URI). Domena accounts.google.com wygląda OK, ale widzicie to data:text/html na początku? Nie klikajcie…

data uri

Żeby sprawdzić jak to działa, możecie wbić w swoją przeglądarkę: data:text/html,test123

albo jeszcze lepiej to (skopiujcie całą linijkę):

data:text/html,https://google.com/                                                                                                                                                                                                                                                <script>document.location.href='https://sekurak.pl';</script>

Na naszym FF 50.1.0 wygląda to tak:

I po przescrollowaniu w prawo:

Schemat działania pokazany jest na grafice poniżej:

phishing

Czyli mamy data:text/html,http://accounts.google.com/… [duzo spacji] i kod, który przekieruje nas na lewą domenę (możemy jej nawet nie widzieć w pasku przeglądarki – wcześniej dużo spacji):

2FA można skonfigurować zupełnie bezpłatnie korzystając choćby z Google Authenticatora, lub ewentualnie używając rozwiązań sprzętowych, o których pisaliśmy jakiś czas temu na sekuraku.

–ms