Hlavní navigace

Phishingový útok krade účty Google, pozor na falešné PDF v příloze

Petr Krčmář

Nová phishingová kampaň míří na uživatele Google a je tak přesvědčivá, že může zmást i technicky zdatné uživatele. Vše začíná mailem s falešným PDF a končí ukradením přihlašovacích údajů.

Phishingový mail se tváří velmi nenápadně a obsahuje přílohu ve formátu PDF, jejíž náhled je možné zobrazit přímo v prostředí GMailu. Zpráva se tváří důvěryhodně, protože jde o odpověď od známého kontaktu, která obsahuje už dříve poslanou přílohu. Tyto informace jsou získány z napadeného účtu předchozí oběti.

V příloze je ve skutečnosti falešný soubor PDF, který je ovšem pouze screenshotem boxíku s původní zprávou z odesílatelovy schránky. Protože používá známý vzhled, oběť se domnívá, že jí známý posílá dokument.

Vypadá jako příloha, ale je to jen vložený obrázek

Nová oběť se snaží přílohu otevřít, v domnění, že jde o legitimní dokument. Po kliknutí na obrázek se ale otevře nová stránka s informací o tom, že uživatel byl odhlášen ze služeb Google.

Stránka v URL

Adresa zobrazené stránky obsahuje řetězec accounts.google.com, který většinu uživatelů zmate a domnívají se, že jsou na správné přihlašovací stránce. Ve skutečnosti jde ale o velmi dlouhý řádek textu, který obsahuje zdrojový kód HTML stránky. Protože je ale falešná URL část od zbytku oddělena mezerami, jeví se obsah adresního řádku jako běžná adresa.

Adresa začíná známým řetězcem, ale obsahuje HTML

Tato technika se nazývá „data URI“ a umožňuje vložit celou stránku do adresního řádku. V tomto případě je navíc hlavička data:text/html zobrazena stejnou barvou i písmem jako zbytek domnělé adresy, takže jí uživatel nevěnuje pozornost. Správně má ale adresa vypadat jinak.

Takto vypadá URL přihlašovací stránky doopravdy

Pokud nepozorná oběť do stránky vloží své přihlašovací údaje, prohlížeč je odesílá na servery útočníků. Ty zareagují okamžitým přihlášením do schránky oběti, vyhledáním kontaktů, vytipováním zpráv s přílohami a celý proces se opakuje.

Metoda napadení je poměrně nenápadná a běžný uživatel nemusí zpozorovat nic podezřelého. Prostě byl odhlášen od svého účtu a musí zadat znovu své přihlašovací údaje. Mnoho lidí z branže hlásí, že se nechalo oklamat.

Dvoufaktorová autentizace

Ochranou proti tomuto typu útoku je dvoufaktorová autentizace, která kromě jména a hesla po uživateli vyžaduje ještě opsání kódu z SMS nebo offline generátoru v mobilním telefonu. Pokud by uživateli přihlašovací údaje přeci jen unikly, útočníkovi nebudou stačit k úspěšnému přihlášení.

Generátor jednorázových hesel Google Authenticator

Google o problému ví

Google o tomto typu útoků ví minimálně od loňského roku a bezpečnostní tým Chrome navrhl úpravu, po které by prohlížeč zobrazoval varování při použití schémat data:, blob: a dalších, která mohou být zneužita tímto způsobem.

Varování: tato stránka je nezabezpečená

Odkazy

Našli jste v článku chybu?