Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przykładowe wykorzystanie znaku RTLO w wiadomości e-mail – case study: Gmail
Przez ostatnich kilka lat mogliśmy zaobserwować wiele różnych zastosowań znaku Right-to-Left Override [RTLO / RLO]. Jednym z nich jest wykorzystanie go jako element linku w treści wiadomości e-mail.
Zobaczmy jak powyższą technikę zastosować np. w GMailu, choć pamiętajcie żeby testować to tylko na własne potrzeby.
Mam nadzieję, że artykuł pomoże Wam wykryć ten typ ataku, jeżeli otrzymacie tak przygotowaną wiadomość e-Mail z fałszywym adresem.
Socjotechniczna wiadomość – krok po kroku
Logujemy się na dowolne konto Google Mail, po czym klikamy przycisk tworzenia nowej wiadomości. Następnie dodajemy link „mailto:”, a znak U+202E (w postaci URL Encode) wpisujemy bezpośrednio przed adresem e-mail. Całość powinna wyglądać według poniższego formatu:
<a href="mailto:%E2%80%AEadres@email.pod.ktory.wysylana.jest.wiadomosc">adres@email.pod.ktory.podszywa.sie.atakujacy</a>
Przykładowym scenariuszem wykorzystania mogłoby być stworzenie wiadomości e-mail wysyłanej z adresu no-reply@tutaj.nazwa.domeny.atakującego, z nagłówkiem o treści: „Wiadomość została wygenerowana automatycznie, prosimy na nią nie odpowiadać” (aby nakłonić użytkownika do niekorzystania z opcji „Odpowiedź”) oraz podanym linkiem w rozwinięciu z kodem HTML: „Kliknij tutaj, aby odpowiedzieć bezpośrednio na e-mail lp.karukes@rozwal.to”.
<a href="mailto:%E2%80%AEot.lawzor@sekurak.pl">lp.karukes@rozwal.to</a>
Użytkownik po kliknięciu w zaprezentowany wyżej link zobaczy na poczcie Gmail poniższy widok:
Oczywiście wiadomość po wysłaniu zostanie przesłana na adres ot.lawzor@sekurak.pl.
Jak pewnie zauważyliście, atakujący musi zarejestrować adres e-mail będący odwrotnością „prawdziwego” – stąd ryzyko wykorzystania tej „metody” jest bardzo niskie.
Zawsze sprawdź adres e-Mail
Prawdopodobnie różne inne programy pocztowe czy serwisy internetowe także „akceptują” wykorzystanie znaku RTLO / RLO.
Nam pozostaje dokładna weryfikacja adresu e-mail, na który chcemy wysłać wiadomość, czy jest on rzeczywiście poprawny.
Czy znacie inne ciekawe sposoby wykorzystania wspomnianego znaku (pomijając jego użycie w polu „Name” adresu pocztowego)? :-)
~ Artur Czyż, prowadzi szkolenia z tematyki cyberawareness.
Plik moze wyswietlac się jako:
dokumexe.pdf
podczas gdy jego prawdziwa nazwa to
dokumfdp.exe