Uživatelé využívající e-mail od Googlu mohou narazit v těchto dnech na novou phishingovou vlnu, která se od těch tradičních liší svou zákeřností. U většiny z nich často stačí zkontrolovat adresu, na kterou vedou odkazy ve zprávě, tady se však můžete při malé nepozornosti spálit.
Vše začíná tak, jak jsme u podobných zpráv zvyklí, útočníci zde využili připojení zdánlivé přílohy ve formátu PDF, která je však pouhým obrázkem. V domnění, že si oběť otevře dokument přímo v prohlížeči klikne na obrázek, který ji ale přesměruje na web, kde najde přihlašovací formulář do Gmailu.
Takto vypadá podvržená přihlašovací stránka Gmailu. V adresním řádku spatří oběť známou URL a zbytku tak přestane věnovat pozornost. Na podvod by měl upozornit jak nezvyklý formát adresy, tak její barva. Ta je v případě pravého Gmailu zelená díky využívání HTTPS (foto: Timruffles/Github)
A právě na tomto místě se aktuální vlna phishingu liší od toho běžného. V adresním řádku totiž opravdu uživatel spatří URL https://accounts.google.com, která patří legitimnímu přihlašovacímu webu. Jenže díky Data URI obsahuje adresní řádek také prázdné znaky a delší škodlivý kód směřující právě na web určený pro získání údajů oběti. Techniku najdete dobře zdokumentovanou a popsanou na Githubu.
Jakmile útočníci získají údaje, využijí je k přístupu k účtu a rozeslání další vlny phisningových e-mailů na kontakty v adresáři. Dalším obětem tedy přijde taková zpráva od známé osoby, čímž se opět zvýší šance útočníků.
Přečtěte si také: