Пользователи Gmail подверглись эффективной атаке хакеров

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Эксперты по безопасности бьют тревогу по поводу новой фишинговой кампании, которую неизвестные злоумышленники проводят в Gmail. Несмотря на кажущуюся бесхитростность, атаки оказываются весьма эффективными.


Просто, но действенно

Компания Wordfence выявила фишинговую кампанию, жертвами которой становятся пользователи почтового сервиса Google Gmail. Согласно описанию исследователей, злоумышленники, взломав какой-либо аккаунт (в том числе, с помощью другого фишинга), начинают рассылать контактам жертвы письма, которые содержат изображения, имитирующие реальные вложения, которые уже отправлялись со взломанного аккаунта ранее.

То есть, если вы отправляли кому-либо архив с документами, и это письмо сохранилось в папке исходящей корреспонденции, то злоумышленники вышлют будущим жертвам — кому-либо из ваших адресатов — скриншот вложения. При нажатии на него вас перебросит на фейковую страницу, имитирующую форму входа в аккаунт Gmail.

В адресной строке даже содержится надпись «https://accounts.google.com». Однако при более внимательном рассмотрении адреса выясняется, что это фальшивка.

Хакеры атаковали оппонентов взломанных ранее аккаунтов в Gmail

Если на этой странице ввести логин и пароль, то злоумышленники смогут зайти в ваш настоящий почтовый ящик и использовать его для компрометации любых ресурсов, к которым привязан взломанный аккаунт — например, для восстановления пароля.

Как уберечься от атаки

Злоумышленники используют методику data URI, которая подразумевает, что в адресную строку загружается код целого скрипта. Ключевой признак: вместо обычного «http» или «https» адресная строка начинается с «data:text/html». И только после этого идет имитация обычного адреса формы входа в аккаунты Google вида «https://accounts.google.com/ServiceLogin?service=mail».

Если скопировать весь «адрес» и вставить его в текстовый редактор, то видно, что после слова «mail» следует большое количество пустого пространства, а дальше начинается код скрипта. Этот скрипт открывает в новом окне фальшивую форму доступа к Gmail, используемую для выманивания настоящих логина и пароля.

Такой подход кажется довольно простым, однако он продемонстрировал свою эффективность даже в отношении технически грамотных пользователей. Наиболее эффективным способом уберечься является использование двухфакторной авторизации при входе в почтовый ящик.

«Фишинговые атаки обычно рассчитаны либо на недостаток знаний у потенциальной жертвы, либо на его невнимательность, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Фишеры придумывают все новые и новые приемы, чтобы усыпить бдительность пользователей. Однако главное, что снижает внимательность и, соответственно, повышает риск стать жертвой обмана, — это иллюзорная уверенность в том, что на такие "дешевые уловки" человек точно не попадется».

Гвоздев уверен, что даже самые опытные пользователи могут стать жертвами фишинга. При малейших подозрениях относительно происхождения письма наиболее разумным подходом он считает всестороннюю проверку, вплоть до звонка предполагаемому отправителю.

Google: «мы в курсе, работаем»

Представители Googleсообщили, что разработчики Chromeв курсе этой фишинговой кампании и работают над дополнительными средствами борьбы с фишерами. «Мы помогаем пользователям защититься от фишинговых атак несколькими способами, предлагая в том числе обнаружение фишинговых сообщений с помощью алгоритмов машинного обучения, режим SafeBrowsing, при котором пользователям выводятся предупреждения об опасных ссылках в почте и браузере, предотвращение подозрительных попыток войти в аккаунт пользователя и т. д. Сами пользователи могут задействовать двухфакторную верификацию в качестве дополнительного слоя защиты», — говорится в заявлении Google.