Uživatelům Gmailu chtějí ukrást přihlašovací údaje. Pozor na nový nepříjemný phishing

19. 1. 2017

Sdílet

 Autor: Redakce

Internetem se šíří nové podvodné e-maily, které mohou řadu uživatelů zmást. Jsou totiž posílány z důvěryhodných adres, v příloze jsou „očekávané“ soubory a falešná stránka, do které musí uživatelé zadat přihlašovací údaje, působí rovněž legitimně. Funguje to jednoduše:

  1. Na Gmail vám přijde zpráva od člověka, se kterým jste si už psali.
  2. Na spodku zprávy je vložený obrázek, který vypadá, jako by u e-mailu byla přibalena příloha (PDF, Word apod.). Obsahuje tedy drobný náhled, jméno souboru a dvě tlačítka pro stažení do počítače nebo Google Disku. Je to ale jen obrázek.
  3. Pokud na obrázek kliknete, otevře se nové okno prohlížeče. V něm je napsáno, že došlo k odhlášení a musíte se googlovským účtem opětovně přihlásit.
  4. Stránka je to ale pochopitelně falešná. V adresním řádku je vidět text: data:text/html,https://accounts.google.com/ServiceLogin?service=mail, za ním spousta mezer a za nimi pak kód.
  5. Adresní řádek nesvítí zeleně, protože nejde o důvěryhodnou stránku. Uživatele ale může zmást, že se tam nachází skutečná adresa accounts.google.com.
  6. Útočníci využili starou techniku Data URI, která dovoluje vložit zakódovaný soubor (base64) přímo do odkazu. Uvedená googlovská adresa nic neznamená, důležitý jen text za hromadou mezer. Ten obsahuje příkaz k načtení stránky odjinud, která se do prohlížeče vloží jako
  7. Uživatel vidí dokonale okopírovaný přihlašovací dialog. Jeho formulář ale odesílá adresu a heslo přímo útočníkům.
  8. Ti se pak ručně nebo automatizovaně pomocí těchto údajů přihlásí do Gmailu oběti.
  9. Ve schránce si pak najdou další oběť s účtem na Gmailu. Například spolužáka, kterému pošlou wordovský dokument. Ten ale opět bude pouze domnělou přílohou, viz bod 1.
  10. Celý útok je dobře zdokumentován na GitHubu.

Co proti takového phishingu pomůže? Opatrnost. Jako vždy. Zkušenější oko si musí všimnout, že s adresou v řádku prohlížeče není něco v pořádku, i když je tam uvedeno „něco s Googlem“. Že doména není zelená – důvěryhodná. (Byť s dnes rozdávanými bezplatnými certifikáty by i falešná stránka mohla být zelená…)

Příloha je pouze domnělá, ve skutečnosti jde o vložený obrázek s odkazem na falešnou stránku Příloha je pouze domnělá, ve skutečnosti jde o vložený obrázek s odkazem na falešnou stránku

A pokud už je pozdě, tak uživatele může zachránit dvoufázové ověřování. I když útočník získá adresu a heslo, stále bude potřebovat kód, který oběti přijde pomocí SMS či který mu vygeneruje aplikace. A nesmí přitom stejné přihlašovací údaje používat u jiných služeb.

Přihlašovací dialog je dokonalou kopií toho od Googlu Přihlašovací dialog je dokonalou kopií toho od Googlu