设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 公司 数据
当前位置: 首页 > 服务器 > 安全 > 正文

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

发布时间:2017-01-23 07:37 所属栏目:53 来源:雷锋网
导读:小编(公众号:小编)注:本文由安全客翻译,获授权发布,原文链接[传送门]。 攻击事件概述 根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们

小编(公众号:小编)注:本文由安全客翻译,获授权发布,原文链接[传送门]。

攻击事件概述

根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码。需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗。

攻击技术分析

攻击者会制作一个钓鱼网页,然后利用精心设计的URL地址来欺骗用户访问该页面,然后输入自己的账户凭证,这也是网络钓鱼攻击者惯用的伎俩。可能很多人读到这里,都会觉得钓鱼攻击离自己非常遥远,甚至会认为自己永远都不会遇到网络钓鱼。但是安全研究专家表示,他们所发现的这种新型网络钓鱼活动其攻击效率非常高,而且很多懂技术的人也难以幸免。

在这种攻击场景中,恶意信息是从目标用户通讯录中某位联系人的邮箱地址发送过来的,攻击者会在恶意邮件中添加看起来像一个PDF文档的图标。当用户打开了这封邮件之后,用户可以直接在Gmail邮箱中点击这个伪装PDF文档的图片。当目标用户点击了邮件信息中的“attachment”(附件)图标之后,用户会被重定向至一个由攻击者控制的Gmail邮箱钓鱼页面。

WordFence在其发布的研究报告中写到:“当你点击了这个“附件”之后,你会希望Gmail将邮件附件的内容以文件预览的形式显示给你。但事实并非如此,当你点击之后,浏览器会在一个新标签页中打开一个Gmail邮箱钓鱼页面,并要求你再次进行Gmail邮箱登录。一般来说,你会再检查一次浏览器的地址栏,以确定地址中标有“accounts.google.com”等字样。当你再一次完成了登录操作之后,攻击者也就成功地获取到了你的账号凭证。”

技术详解

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

一切开始于一封看起来极其普通的电子邮件,唯一存在疑点的就是邮件中的那个附件文档。由于我自己并不使用Gmail,所以我得用RoundCube邮箱客户端来打开附件,但此时这个附件并不会正常工作。所以攻击者的目标必须是Gmail邮箱的用户,而且他必须将邮件制作成如下图所示的样子:

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

问题就在这了,邮件下方这个所谓的“附件”其实就是一张图片。其相应的源码如下:

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

嵌入其中的URL在经过两次重定向之后才会到达目的地址,这种技术也是钓鱼攻击中常用的技术,因为在第一地址不可达的时候它会动态跳转到后背地址。可怕的地方就在于,这个附件图标所指向的URL地址从表面上看是一个合法地址:

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

此时,用户的浏览器并不会显示任何的证书警告。安全研究专家经过分析之后发现,上面这个URL地址看起来并没有什么问题,但是它只是整个URL地址的一部分,它后面还跟有很多空格符,这样就可以防止目标用户看到地址中的可疑字符串以及一个经过代码混淆的脚本,而这个脚本可以在目标用户的浏览器中新建一个标签页,然后在新标签中打开一个Gmail邮箱钓鱼页面。

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

攻击者对他所使用的JavaScript脚本进行了简单的混淆处理,但其实我们不需要对代码进行反混淆也能够知道这段代码想要做什么。

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

最后,代码会被解析为一个简单的iframe,这部分代码是直接从Google网站上复制过来的,但是攻击者需要将用户信息发送给远程服务器中的1.php文件来进行处理,这也是钓鱼攻击中常见的文件名,因为他们通常都很懒。

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

演示视频

需要注意的是,这种类型的攻击并不是最近才出现的,早在去年的七月份就已经有不少的受害者报告过类似的攻击事件了。

这种攻击技术的一个主要特点就是,网络犯罪分子在获取到用户的Gmail凭证之后,会立刻登录该邮箱,然后再向该用户的所有联系人发送钓鱼邮件。但是目前我们还不清楚攻击者是否实现了整个攻击过程的自动化。

安全专家Tom Scott在其Twitter上写到:“这是我有生以来第一次如此地接近Gmail钓鱼攻击,要不是我的显示器分辨率非常高而让这个附件图标失真了,否则我也不会发现任何的异常,估计我也就成为这种钓鱼攻击的受害者。”

双因素身份验证(2FA)是否有效?

与之前一样,我们建议广大用户尽可能地开启Gmail邮箱的双因素身份验证(2FA)功能,以此来避免自己成为这种新型网络钓鱼攻击的受害者。但是,如果网络犯罪分子能够立刻访问被入侵的邮箱账号,那么他们同样可以在钓鱼页面中显示双因素身份验证码。

一位安全研究人员在接受Hacker News的采访时说到:“双因素身份验证机制可以增加这种钓鱼攻击的难度,但是网络钓鱼攻击也在变得越来越高端了。犯罪分子可以捕获你所输入的双因素身份验证码,然后立刻利用你的2FA验证码和邮箱凭证建立一个新的通信会话。因此,硬件2FA(类似U盾)也许是防止这种钓鱼攻击的唯一方法。”

实际上,Google早在2016年3月份就已经发现了这种新型的网络钓鱼攻击。正因如此,Chrome安全团队才会在浏览器地址栏中用“Not Secure”标签来标识那些包含“data:”、“blob:”以及其他标签的URL地址,因为钓鱼攻击者很有可能利用这些地址来进行黑客攻击活动。

如何保护你自己

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读