Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Przykładowe wykorzystanie znaku RTLO w wiadomości e-mail – case study: Gmail

20 marca 2017, 08:51 | Teksty | 1 komentarz

Przez ostatnich kilka lat mogliśmy zaobserwować wiele różnych zastosowań znaku Right-to-Left Override [RTLO / RLO]. Jednym z nich jest wykorzystanie go jako element linku w treści wiadomości e-mail.

Zobaczmy jak powyższą technikę zastosować np. w GMailu, choć pamiętajcie żeby testować to tylko na własne potrzeby.

Mam nadzieję, że artykuł pomoże Wam wykryć ten typ ataku, jeżeli otrzymacie tak przygotowaną wiadomość e-Mail z fałszywym adresem.

Socjotechniczna wiadomość – krok po kroku

Logujemy się na dowolne konto Google Mail, po czym klikamy przycisk tworzenia nowej wiadomości. Następnie dodajemy link „mailto:”, a znak U+202E (w postaci URL Encode) wpisujemy bezpośrednio przed adresem e-mail. Całość powinna wyglądać według poniższego formatu:

<a href="mailto:%E2%80%AEadres@email.pod.ktory.wysylana.jest.wiadomosc">adres@email.pod.ktory.podszywa.sie.atakujacy</a>

Przykładowym scenariuszem wykorzystania mogłoby być stworzenie wiadomości e-mail wysyłanej z adresu no-reply@tutaj.nazwa.domeny.atakującego, z nagłówkiem o treści: „Wiadomość została wygenerowana automatycznie, prosimy na nią nie odpowiadać” (aby nakłonić użytkownika do niekorzystania z opcji „Odpowiedź”) oraz podanym linkiem w rozwinięciu z kodem HTML: „Kliknij tutaj, aby odpowiedzieć bezpośrednio na e-mail lp.karukes@rozwal.to”.

<a href="mailto:%E2%80%AEot.lawzor@sekurak.pl">lp.karukes@rozwal.to</a>

Użytkownik po kliknięciu w zaprezentowany wyżej link zobaczy na poczcie Gmail poniższy widok:

Google Mail

Tworzenie nowej wiadomości na poczcie Gmail

Oczywiście wiadomość po wysłaniu zostanie przesłana na adres ot.lawzor@sekurak.pl.

Jak pewnie zauważyliście, atakujący musi zarejestrować adres e-mail będący odwrotnością „prawdziwego” – stąd ryzyko wykorzystania tej „metody” jest bardzo niskie.

Zawsze sprawdź adres e-Mail

Prawdopodobnie różne inne programy pocztowe czy serwisy internetowe także „akceptują” wykorzystanie znaku RTLO / RLO.

Nam pozostaje dokładna weryfikacja adresu e-mail, na który chcemy wysłać wiadomość, czy jest on rzeczywiście poprawny.

Czy znacie inne ciekawe sposoby wykorzystania wspomnianego znaku (pomijając jego użycie w polu „Name” adresu pocztowego)? :-)

 

~ Artur Czyż, prowadzi szkolenia z tematyki cyberawareness.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. marek

    Plik moze wyswietlac się jako:

    dokumexe.pdf

    podczas gdy jego prawdziwa nazwa to

    dokumfdp.exe

    Odpowiedz

Odpowiedz