- Na Gmail vám přijde zpráva od člověka, se kterým jste si už psali.
- Na spodku zprávy je vložený obrázek, který vypadá, jako by u e-mailu byla přibalena příloha (PDF, Word apod.). Obsahuje tedy drobný náhled, jméno souboru a dvě tlačítka pro stažení do počítače nebo Google Disku. Je to ale jen obrázek.
- Pokud na obrázek kliknete, otevře se nové okno prohlížeče. V něm je napsáno, že došlo k odhlášení a musíte se googlovským účtem opětovně přihlásit.
- Stránka je to ale pochopitelně falešná. V adresním řádku je vidět text: data:text/html,https://accounts.google.com/ServiceLogin?service=mail, za ním spousta mezer a za nimi pak kód.
- Adresní řádek nesvítí zeleně, protože nejde o důvěryhodnou stránku. Uživatele ale může zmást, že se tam nachází skutečná adresa accounts.google.com.
- Útočníci využili starou techniku Data URI, která dovoluje vložit zakódovaný soubor (base64) přímo do odkazu. Uvedená googlovská adresa nic neznamená, důležitý jen text za hromadou mezer. Ten obsahuje příkaz k načtení stránky odjinud, která se do prohlížeče vloží jako
- Uživatel vidí dokonale okopírovaný přihlašovací dialog. Jeho formulář ale odesílá adresu a heslo přímo útočníkům.
- Ti se pak ručně nebo automatizovaně pomocí těchto údajů přihlásí do Gmailu oběti.
- Ve schránce si pak najdou další oběť s účtem na Gmailu. Například spolužáka, kterému pošlou wordovský dokument. Ten ale opět bude pouze domnělou přílohou, viz bod 1.
- Celý útok je dobře zdokumentován na GitHubu.
Co proti takového phishingu pomůže? Opatrnost. Jako vždy. Zkušenější oko si musí všimnout, že s adresou v řádku prohlížeče není něco v pořádku, i když je tam uvedeno „něco s Googlem“. Že doména není zelená – důvěryhodná. (Byť s dnes rozdávanými bezplatnými certifikáty by i falešná stránka mohla být zelená…)
A pokud už je pozdě, tak uživatele může zachránit dvoufázové ověřování. I když útočník získá adresu a heslo, stále bude potřebovat kód, který oběti přijde pomocí SMS či který mu vygeneruje aplikace. A nesmí přitom stejné přihlašovací údaje používat u jiných služeb.