Εξελιγμένο phishing με νόμιμο SSL της Google

Πριν από δύο μήνες περίπου, είχαμε δημοσιεύσει για μια απάτη phishing που χρησιμοποιούσε τις υπηρεσίες Google Docs και Google Drive. Αυτή η ίδια απάτη κυκλοφορεί και πάλι, αλλά αυτή τη φορά είναι πιο αποτελεσματική από τα εκατομμύρια των μηνυμάτων phishing που βλέπουμε κάθε μέρα, επειδή η σελίδα phishing του Google Drive σερβίρεται μέσω SSL από την ίδια τη νόμιμη υπηρεσία του Gοogle Drive.

Αυτοί που εξετάζουν αν μια σελίδα είναι phishing εστιάζουν περισσότερο στην οπτική επιθεώρηση του URL για να βεβαιωθούν ότι η σύνδεση είναι ασφαλής. Είναι μια καλή προσέγγιση, αλλά δεν θα βοηθήσει στην πρόληψη κατά της συγκεκριμένης επίθεσης.

Όπως και στο παρελθόν, το μήνυμα phishing του εισβολέα χρησιμοποιεί ένα απλό θέμα του Gοogle Docs και περιέχει μια διεύθυνση URL που δείχνει προς μια phishing σελίδα που φιλοξενείται στην υπηρεσία αποθήκευσης αρχείων Google Drive:

Phishing
Σχήμα 1 . Gοogle Drive phishing σελίδα

Ωστόσο, αυτή τη φορά οι phishers έχουν κάνει μια μικρό λάθος. Στην κάτω γωνία της σελίδας , υπάρχει ένα παράθυρο επιλογής γλώσσας. Για κάποιον που είναι προσεκτικός αυτό θα μπορούσε να είναι μια κόκκινη σημαία ότι κάτι δεν πάει καλά. Φαίνεται ότι οι phishers κατέστρεψαν κατά λάθος τη σελίδα, καθώς μερικά ονόματα γλωσσών παρουσιάζονται με ένα ερωτηματικό σε κάθε πλευρά :

Google Drive Phishing 1

Σχήμα 2 . Κατεστραμμένες επιλογές γλώσσας

Αυτή η διαφθορά είναι πιθανώς επειδή η Gοogle παραθέτει τις γλώσσες γραμμένες όπως είναι στις χώρες που τις ομιλούν: για παράδειγμα, τα Κορεατικά αναγράφονται στη μητρική γλώσσα της Κορέας με το αλφάβητο της Hangul: 한국어. Όταν phishers αποθήκευσαν ένα αντίγραφο της σελίδας του Google, κατά πάσα πιθανότητα δεν χρησιμοποίησαν κωδικοποίηση χαρακτήρων σε UTF- 8 αλλά ISO- 8859-1 ( Latin-1 ), που προκαλεί αυτό το σφάλμα στις γραμματοσειρές.

Πολλά από τα θύματα δεν μπορούν να παρατηρήσουν αυτό το σφάλμα στη σελίδα, διότι βρίσκεται σε μια γωνία και δεν διακρίνεται. Ακόμη και αν το θύμα προσέξει τις λάθος γραμματοσειρές, μπορεί να νομίζει ότι είναι κάποιο μικρό bug ή κάποιο πρόβλημα με το δικό τους υπολογιστή.

Τα Κλεμμένα διαπιστευτήρια αποστέλλονται σε ένα PHP script που βρίσκεται σε ένα διακομιστή που έχει παραβιαστεί:

Phishing 2

Σύμφωνα με την Symantec αυτό το script έχει το ίδιο όνομα (performact.php) που είδαμε στην απάτη που δημοσιεύσαμε πριν από δύο μήνες, γεγονός που υποδηλώνει ότι η ομάδα των επιτιθέμενων είναι η ίδια ( ή τουλάχιστον χρησιμοποιούν το ίδιο πακέτο phishing ). Το script ανακατευθύνει το θύμα σε ένα έγγραφο που φιλοξενείται στο Gοogle Drive και είναι σχεδιασμένο να στέλνει τα διαπιστευτήρια στους επιτιθέμενους.

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).