Обновена на 24.07.2018 от Questo
За нова фишинг кампания, насочена срещу потребителите на Gmail, съобщава един от авторите в Hacker News на Ycombinator.
Ето как протича атаката: получавате писмо, чийто подател може да е някой, когото познавате. В писмото има линк към файл – обикновено изображение. Когато се опитате да отворите изображението, на екрана ви се появява добре познатият портал за вход към Gmail, който ви приканва да въведете потребителско име и парола за достъп.
Не забравяйте, че вие вече сте влезли в пощата си. Защо му е на Google отново да ви иска парола за достъп? Но страницата изглежда убедително. Има и още нещо, което може да ви заблуди: в адрес бара на браузъра забелязвате, че адресът на страницата е: data:text/html,https://accounts.google.com/ServiceLogin?service=mail.
Изглежда познато, нали? Всъщност изглежда точно като истинския адрес за достъп до Gmail, който е https://accounts.google.com/ServiceLogin?service=mail&… и т.н.
Ето, нека ги сравним един до друг. Двата адреса безспорно си приличат.
Истински:https://accounts.google.com/ServiceLogin?service=mail…
Фалшив:data:text/html,https://accounts.google.com/ServiceLogin?service=mail….
И все пак разлика има. Вероятно забелязвате, че фалшивият адрес съдържа едно data:text/html, пред познатото accounts.google.com… Тази представка всъщност е команда, която казва на браузъра ви да зареди и покаже определен html код. В случая кодът визуализира фалшива Gmail страница, в която вие въвеждате паролата си и тя бива открадната.
Този фишинг метод е известен от години и често е много ефективен. Причината е, че с него може да се имитира легитимен интернет адрес, който да приспи бдителността на потребителя.
Обикновено ако имате съмнения за фишинг, вие най-напред поглеждате адреса на страницата. Например не е трудно да се види, че следната страница за достъп до PayPal е фалшива, тъй като адресът й няма нищо общо с истинския адрес на популярнаа услуга за разплащания:
Но ако адресът съвпада с легитимния или много прилича на него? Например някой може да си регистрира домейна facebo0k.com и да сложи на него фалшива логин страница, която събира всички въведени пароли и имейли. Всеки, който посети тази страница, ще си мисли, че се логва във Facebook.
Или пък може да използва описаната по-горе техника, позната като data URI, за да заблуди жертвите си.
Да я илюстрираме с един съвсем елементарен пример. Вижте този код:
data:text/html,https://abv.bg <b>This website is fake!</b>
Ако го копирате и заредите в браузъра си(както бихте копирали и пейстнали нормален уеб адрес) и натиснете Enter, би трябвало да видите страница с надпис This website is fake! (Този сайт е фалшив). Ако след това погледнете към адрес бара обаче, че видите, че адресът е data:text/html,https://abv.bg.
Достатъчно ли е това, за да ви заблуди?
Хората, които се занимават с кражба на лични данни, никога не спират да разнообразяват методите си. Някои от тях са изпипани почти до съвършенство; като например тази фишинг страница на Youtube, за която дори е регистриран специален домейн. Затова и познаването на методите им е най-доброто противодействие срещу каквато и да е фишинг атака.