Πριν από δύο μήνες περίπου, είχαμε δημοσιεύσει για μια απάτη phishing που χρησιμοποιούσε τις υπηρεσίες Google Docs και Google Drive. Αυτή η ίδια απάτη κυκλοφορεί και πάλι, αλλά αυτή τη φορά είναι πιο αποτελεσματική από τα εκατομμύρια των μηνυμάτων phishing που βλέπουμε κάθε μέρα, επειδή η σελίδα phishing του Google Drive σερβίρεται μέσω SSL από την ίδια τη νόμιμη υπηρεσία του Gοogle Drive.
Αυτοί που εξετάζουν αν μια σελίδα είναι phishing εστιάζουν περισσότερο στην οπτική επιθεώρηση του URL για να βεβαιωθούν ότι η σύνδεση είναι ασφαλής. Είναι μια καλή προσέγγιση, αλλά δεν θα βοηθήσει στην πρόληψη κατά της συγκεκριμένης επίθεσης.
Όπως και στο παρελθόν, το μήνυμα phishing του εισβολέα χρησιμοποιεί ένα απλό θέμα του Gοogle Docs και περιέχει μια διεύθυνση URL που δείχνει προς μια phishing σελίδα που φιλοξενείται στην υπηρεσία αποθήκευσης αρχείων Google Drive:
Σχήμα 1 . Gοogle Drive phishing σελίδα
Ωστόσο, αυτή τη φορά οι phishers έχουν κάνει μια μικρό λάθος. Στην κάτω γωνία της σελίδας , υπάρχει ένα παράθυρο επιλογής γλώσσας. Για κάποιον που είναι προσεκτικός αυτό θα μπορούσε να είναι μια κόκκινη σημαία ότι κάτι δεν πάει καλά. Φαίνεται ότι οι phishers κατέστρεψαν κατά λάθος τη σελίδα, καθώς μερικά ονόματα γλωσσών παρουσιάζονται με ένα ερωτηματικό σε κάθε πλευρά :
Σχήμα 2 . Κατεστραμμένες επιλογές γλώσσας
Αυτή η διαφθορά είναι πιθανώς επειδή η Gοogle παραθέτει τις γλώσσες γραμμένες όπως είναι στις χώρες που τις ομιλούν: για παράδειγμα, τα Κορεατικά αναγράφονται στη μητρική γλώσσα της Κορέας με το αλφάβητο της Hangul: 한국어. Όταν phishers αποθήκευσαν ένα αντίγραφο της σελίδας του Google, κατά πάσα πιθανότητα δεν χρησιμοποίησαν κωδικοποίηση χαρακτήρων σε UTF- 8 αλλά ISO- 8859-1 ( Latin-1 ), που προκαλεί αυτό το σφάλμα στις γραμματοσειρές.
Πολλά από τα θύματα δεν μπορούν να παρατηρήσουν αυτό το σφάλμα στη σελίδα, διότι βρίσκεται σε μια γωνία και δεν διακρίνεται. Ακόμη και αν το θύμα προσέξει τις λάθος γραμματοσειρές, μπορεί να νομίζει ότι είναι κάποιο μικρό bug ή κάποιο πρόβλημα με το δικό τους υπολογιστή.
Τα Κλεμμένα διαπιστευτήρια αποστέλλονται σε ένα PHP script που βρίσκεται σε ένα διακομιστή που έχει παραβιαστεί:
Σύμφωνα με την Symantec αυτό το script έχει το ίδιο όνομα (performact.php) που είδαμε στην απάτη που δημοσιεύσαμε πριν από δύο μήνες, γεγονός που υποδηλώνει ότι η ομάδα των επιτιθέμενων είναι η ίδια ( ή τουλάχιστον χρησιμοποιούν το ίδιο πακέτο phishing ). Το script ανακατευθύνει το θύμα σε ένα έγγραφο που φιλοξενείται στο Gοogle Drive και είναι σχεδιασμένο να στέλνει τα διαπιστευτήρια στους επιτιθέμενους.