Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Załącznik od „Elona Muska”, czyli jak ominąć filtry antyspamowe poczty Gmail

27 października 2021, 17:14 | W biegu | komentarzy 10

Gmail to bezpłatny serwis webmail stworzony i rozwijany przez przedsiębiorstwo Google. W październiku 2018 r. miał 1,5 mld użytkowników na całym świecie. Firma dba o bezpieczeństwo korespondencji swoich klientów, stosując własne mechanizmy wykrywania phishingu, złośliwych załączników i spamu. Żadne zabezpieczenia nie są jednak idealne. My przyjrzymy się dwóm podejrzanym e-mailom, które ominęły filtry Gmaila:

Już na pierwszy rzut oka może się wydawać, że powyższe wiadomości wyglądają podejrzanie, co można wywnioskować po bezsensownym temacie e-maila, braku treści wiadomości czy budzącym wątpliwość załączniku .xhtml. Mimo to korespondencja trafiła do kategorii „Odebrane”, co oznacza, że według Gmaila wiadomości te są bezpieczne. Tak zaś wygląda zawartość jednego z załączników:

XHTML to język służący do tworzenia stron WWW ogólnego przeznaczenia. W odróżnieniu od HTML dokumenty pisane w języku XHTML są zgodne z oficjalną specyfikacją XML (to znaczy, że dokumenty w XHTML są poprawnymi dokumentami XML) i dzięki temu można je łatwo generować z innych dokumentów XML za pomocą np. transformacji XSLT, a także automatycznie przekształcać w inne formy XML.

W omawianej sytuacji mamy do czynienia z prostą sztuczką, która działa również w przypadku standardowych plików .html. Mowa tu o wykorzystaniu funkcji Window atob oraz zdarzenia onerror. W momencie otworzenia przez nas pliku .xhtml otwieramy de facto stronę, która próbuje wyświetlić nam obraz o nazwie “bwFI41765760.png”. Ponieważ takowy plik nie został dołączony wraz z plikiem .xhtml, wykonane zostanie zdarzenie onerror, które przekieruje nas do wybranej przez atakującego strony. Docelowy adres URL nie jest jednak podany bezpośrednio, a w formie zaciemnionej, poprzez wykorzystanie kodowania Base64:

Spróbujmy więc „odszyfrować” zaciemniony adres URL:

Bingo! Teraz już wiemy, że głównym zadaniem pliku .xhtml dołączonego w podejrzanych wiadomościach e-mail jest przekierowanie nas na stronę kontrolowaną przez atakującego, która w momencie pisania artykułu została już najprawdopodobniej „zdjęta”:

Gdy strona domen0001.info działała, przekierowywała ona ofiarę do innych złośliwych witryn promujących oszustwo, takich jak np. https://btc[.]bitmininges.site/:

Choć kampania nie należy do najlepiej przygotowanych (niewiarygodna treść e-maili), to fakt, że cyberprzestępcom udało się ominąć zaawansowane filtry i mechanizmy antyspamowe Gmaila w tak prosty sposób, jest dosyć alarmujący.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. > rozwijany przez przedsiębiorstwo Google

    a nie przez Alphabet Inc.?

    Odpowiedz
    • asdsad

      Mam kolegę, który upiera się, że Gugle należy do Alfabeta. Tylko nie zauważa, że Gugle samo „powołało” Alphabet po to, żeby je kupił. Pewnie jakieś „optymalizacje podatkowe”.

      Odpowiedz
      • B

        Raczej próba ominięcia oskarżeń o monopol (co ma np miejsce w przypadku fb, ig i whatsappa).

        Odpowiedz
        • Zdzich

          Już nie – parasolem dla tych firm jest meta.com

          Odpowiedz
    • hehe

      Gmail jest produktem firmy Google wchodzącej w skład grupy Alphabet Inc :)

      Odpowiedz
    • Nie ;)

      Odpowiedz
  2. matippl

    > Gmail to bezpłatny serwis webmail stworzony i rozwijany przez przedsiębiorstwo Google.
    > Firma dba o bezpieczeństwo korespondencji swoich klientów

    dobrze to nazwaliście, że klientów :D

    Odpowiedz
    • guglownik

      guglownicy

      Odpowiedz
  3. ten_drugi

    No i w sumie nie uzyskałem odpowiedzi z tematu… jak ominąć filtry antyspamowe

    Odpowiedz
    • Bogdan

      …to przeczytaj artykuł jeszcze raz…tym razem ze zrozumieniem…

      Odpowiedz

Odpowiedz