-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Nowy, wysoko skuteczny atak na użytkowników Gmaila. Nie daj się podejść!

19 stycznia 2017, 10:10 | Aktualności | komentarzy 9

Tym razem nie jest to bezczelny phishing kierujący bezpośrednio do dziwnie wyglądającej domeny, na której jest hostowana niby strona ze zmianą hasła do Google.

W tym przypadku mamy do czynienia z mailem często wysłanym od znajomego, którego konto zostało właśnie przejęte. Mail zawiera załącznik (często mało podejrzany) z plikiem lub grafiką, który jest de facto URL-em.  Aby całość uwiarygodnić, atakujący pobierają dodatkowo oryginalny tytuł (tytuły) z historii przejętego konta.

URL wygląda mniej więcej tak jak poniżej (wykorzystuje data URI). Domena accounts.google.com wygląda OK, ale widzicie to data:text/html na początku? Nie klikajcie…

data uri

data uri

Żeby sprawdzić jak to działa, możecie wbić w swoją przeglądarkę: data:text/html,test123

albo jeszcze lepiej to (skopiujcie całą linijkę):

data:text/html,https://google.com/                                                                                                                                                                                                                                                <script>document.location.href='https://sekurak.pl';</script>

Na naszym FF 50.1.0 wygląda to tak:

im2

I po przescrollowaniu w prawo:

im1

Schemat działania pokazany jest na grafice poniżej:

phishing

phishing

 

Czyli mamy data:text/html,http://accounts.google.com/… [duzo spacji] i kod, który przekieruje nas na lewą domenę (możemy jej nawet nie widzieć w pasku przeglądarki – wcześniej dużo spacji):

gmail-phish

Wniosek: nie klikać w żaden link zaczynający się od data: Jeśli klikniecie, to po prostu zamknijcie okno przeglądarki. Idealnie również skonfigurujcie dwuczynnikowe uwierzytelnienie do swojego konta w Google. 

2FA można skonfigurować zupełnie bezpłatnie korzystając choćby z Google Authenticatora, lub ewentualnie używając rozwiązań sprzętowych, o których pisaliśmy jakiś czas temu na sekuraku.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jan Gutowski

    Noscript: 'javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.
    Developers can enable them for testing purposes by toggling the „noscript.allowURLBarJS” preference.’

    :)

    Odpowiedz
    • /dev/null

      Potwierdzam, noscript blokuje to.

      Odpowiedz
  2. Adam

    Na Edge’u coś to nie działa, chyba pierwszy raz Microsoft zrobił coś dobrze. Jest tylko # i nic więcej się nie wyświetla, a strona niby cały czas się ładuje.

    Odpowiedz
  3. Marecky

    A mi NoScript nie pozwala

    Odpowiedz
  4. Dev0

    Sprytne.

    Odpowiedz
  5. Zonk

    Coś w takim razie FF daje ciała .. bo zarówno Chrome jak i Opera usuwają wszystkie spacje czyli od razu widać, że coś jest nie tak ..

    Odpowiedz
  6. Na Edge i Chrome nie działa, więc spoko.

    Odpowiedz
  7. Odpowiedz
    • Krzysztof

      ScriptSafe natywnie ma block click-through referrer data

      Odpowiedz

Odpowiedz na /dev/null