技術解析:如何利用偽造的“附件”對Gmail用户進行釣魚攻擊?
雷鋒網(公眾號:雷鋒網)注:本文由安全客翻譯,獲授權發佈,原文鏈接[傳送門]。
攻擊事件概述
根據安全研究專家的最新發現,網絡犯罪分子們目前正在利用一種經過特殊設計的URL鏈接來對Gmail用户進行網絡釣魚攻擊。當用户點擊了惡意鏈接之後,攻擊者會誘使他們輸入自己的Gmail郵箱憑證,然後獲取到目標用户的郵箱密碼。需要注意的是,它與之前那些網絡釣魚攻擊不同,這是一種非常複雜的新型網絡釣魚攻擊,即使是一些專業的安全技術人員也有可能會被攻擊者欺騙。
攻擊技術分析
攻擊者會製作一個釣魚網頁,然後利用精心設計的URL地址來欺騙用户訪問該頁面,然後輸入自己的賬户憑證,這也是網絡釣魚攻擊者慣用的伎倆。可能很多人讀到這裏,都會覺得釣魚攻擊離自己非常遙遠,甚至會認為自己永遠都不會遇到網絡釣魚。但是安全研究專家表示,他們所發現的這種新型網絡釣魚活動其攻擊效率非常高,而且很多懂技術的人也難以倖免。
在這種攻擊場景中,惡意信息是從目標用户通訊錄中某位聯繫人的郵箱地址發送過來的,攻擊者會在惡意郵件中添加看起來像一個PDF文檔的圖標。當用户打開了這封郵件之後,用户可以直接在Gmail郵箱中點擊這個偽裝PDF文檔的圖片。當目標用户點擊了郵件信息中的“attachment”(附件)圖標之後,用户會被重定向至一個由攻擊者控制的Gmail郵箱釣魚頁面。
WordFence在其發佈的研究報告中寫到:“當你點擊了這個“附件”之後,你會希望Gmail將郵件附件的內容以文件預覽的形式顯示給你。但事實並非如此,當你點擊之後,瀏覽器會在一個新標籤頁中打開一個Gmail郵箱釣魚頁面,並要求你再次進行Gmail郵箱登錄。一般來説,你會再檢查一次瀏覽器的地址欄,以確定地址中標有“accounts.google.com”等字樣。當你再一次完成了登錄操作之後,攻擊者也就成功地獲取到了你的賬號憑證。”
技術詳解
一切開始於一封看起來極其普通的電子郵件,唯一存在疑點的就是郵件中的那個附件文檔。由於我自己並不使用Gmail,所以我得用RoundCube郵箱客户端來打開附件,但此時這個附件並不會正常工作。所以攻擊者的目標必須是Gmail郵箱的用户,而且他必須將郵件製作成如下圖所示的樣子:
問題就在這了,郵件下方這個所謂的“附件”其實就是一張圖片。其相應的源碼如下:
嵌入其中的URL在經過兩次重定向之後才會到達目的地址,這種技術也是釣魚攻擊中常用的技術,因為在第一地址不可達的時候它會動態跳轉到後背地址。可怕的地方就在於,這個附件圖標所指向的URL地址從表面上看是一個合法地址:
此時,用户的瀏覽器並不會顯示任何的證書警告。安全研究專家經過分析之後發現,上面這個URL地址看起來並沒有什麼問題,但是它只是整個URL地址的一部分,它後面還跟有很多空格符,這樣就可以防止目標用户看到地址中的可疑字符串以及一個經過代碼混淆的腳本,而這個腳本可以在目標用户的瀏覽器中新建一個標籤頁,然後在新標籤中打開一個Gmail郵箱釣魚頁面。
攻擊者對他所使用的JavaScript腳本進行了簡單的混淆處理,但其實我們不需要對代碼進行反混淆也能夠知道這段代碼想要做什麼。
最後,代碼會被解析為一個簡單的iframe,這部分代碼是直接從Google網站上覆制過來的,但是攻擊者需要將用户信息發送給遠程服務器中的1.php文件來進行處理,這也是釣魚攻擊中常見的文件名,因為他們通常都很懶。
演示視頻
需要注意的是,這種類型的攻擊並不是最近才出現的,早在去年的七月份就已經有不少的受害者報告過類似的攻擊事件了。
這種攻擊技術的一個主要特點就是,網絡犯罪分子在獲取到用户的Gmail憑證之後,會立刻登錄該郵箱,然後再向該用户的所有聯繫人發送釣魚郵件。但是目前我們還不清楚攻擊者是否實現了整個攻擊過程的自動化。
安全專家Tom Scott在其Twitter上寫到:“這是我有生以來第一次如此地接近Gmail釣魚攻擊,要不是我的顯示器分辨率非常高而讓這個附件圖標失真了,否則我也不會發現任何的異常,估計我也就成為這種釣魚攻擊的受害者。”
雙因素身份驗證(2FA)是否有效?
與之前一樣,我們建議廣大用户儘可能地開啟Gmail郵箱的雙因素身份驗證(2FA)功能,以此來避免自己成為這種新型網絡釣魚攻擊的受害者。但是,如果網絡犯罪分子能夠立刻訪問被入侵的郵箱賬號,那麼他們同樣可以在釣魚頁面中顯示雙因素身份驗證碼。
一位安全研究人員在接受Hacker
News的採訪時説到:“雙因素身份驗證機制可以增加這種釣魚攻擊的難度,但是網絡釣魚攻擊也在變得越來越高端了。犯罪分子可以捕獲你所輸入的雙因素身份驗證碼,然後立刻利用你的2FA驗證碼和郵箱憑證建立一個新的通信會話。因此,硬件2FA(類似U盾)也許是防止這種釣魚攻擊的唯一方法。”
實際上,Google早在2016年3月份就已經發現了這種新型的網絡釣魚攻擊。正因如此,Chrome安全團隊才會在瀏覽器地址欄中用“Not
Secure”標籤來標識那些包含“data:”、“blob:”以及其他標籤的URL地址,因為釣魚攻擊者很有可能利用這些地址來進行黑客攻擊活動。
如何保護你自己
當你在登錄任何網絡服務的時候,一定要檢查瀏覽器地址欄是否有異常,然後驗證協議和主機名的合法性。當你用Chrome瀏覽器登錄Gmail郵箱的時候,地址欄所顯示的內容應該如下圖所示:
而網絡釣魚攻擊者會使用各種各樣的方法來顯示不安全頁面的協議,比如説在協議上用紅線劃過等等,如下圖所示:
在本文所描述的攻擊場景中,用户根本就不會看到任何的紅色或者綠色標記。他們只會看到一行普通的文本地址,具體如下圖所示:
因此,這也就是為什麼這種攻擊技術如此奏效的原因之一。此時,你要確保主機名“accounts.google.com”之前沒有其他一些不該出現的標籤,然後確保協議為HTTPS協議,並且前面要有一個綠色的logo鎖(不光要是綠色的,而且還要在地址的最左側)。如果你無法驗證協議和主機地址的合法性,那麼你就應該停下手中的操作,然後好好想想你是怎麼來到這個頁面的。
如果可以的話,開啟你每一個網絡服務的雙因素身份驗證功能。Gmail郵箱稱其為“兩步驗證”,你可以參考教程來開啟該功能。
如何了解自己的賬號是否被入侵了?
對於普通用户來説,目前還沒有什麼方法可以查看自己的賬號是否被入侵了,你唯一能做的就是立刻修改郵箱的密碼。一般來説,你應該每隔幾個月就修改一次密碼。
如果你使用的是Gmail的話,你可以查看郵箱的登錄操作記錄來確定除了你之外是否還有其他人登錄過你的郵箱。除此之外,你也可以訪問安全專家Troy Hunt所搭建的網站,這個網站在安全圈內非常有名,你只需要輸入自己的郵箱地址,然後點擊“查詢”按鈕,你可以在該網站的數據庫中查看自己的郵箱數據是否發生了泄漏。
參考鏈接:itsjack.cc/
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:知情人士
攻擊事件概述
根據安全研究專家的最新發現,網絡犯罪分子們目前正在利用一種經過特殊設計的URL鏈接來對Gmail用户進行網絡釣魚攻擊。當用户點擊了惡意鏈接之後,攻擊者會誘使他們輸入自己的Gmail郵箱憑證,然後獲取到目標用户的郵箱密碼。需要注意的是,它與之前那些網絡釣魚攻擊不同,這是一種非常複雜的新型網絡釣魚攻擊,即使是一些專業的安全技術人員也有可能會被攻擊者欺騙。
攻擊技術分析
攻擊者會製作一個釣魚網頁,然後利用精心設計的URL地址來欺騙用户訪問該頁面,然後輸入自己的賬户憑證,這也是網絡釣魚攻擊者慣用的伎倆。可能很多人讀到這裏,都會覺得釣魚攻擊離自己非常遙遠,甚至會認為自己永遠都不會遇到網絡釣魚。但是安全研究專家表示,他們所發現的這種新型網絡釣魚活動其攻擊效率非常高,而且很多懂技術的人也難以倖免。
在這種攻擊場景中,惡意信息是從目標用户通訊錄中某位聯繫人的郵箱地址發送過來的,攻擊者會在惡意郵件中添加看起來像一個PDF文檔的圖標。當用户打開了這封郵件之後,用户可以直接在Gmail郵箱中點擊這個偽裝PDF文檔的圖片。當目標用户點擊了郵件信息中的“attachment”(附件)圖標之後,用户會被重定向至一個由攻擊者控制的Gmail郵箱釣魚頁面。
WordFence在其發佈的研究報告中寫到:“當你點擊了這個“附件”之後,你會希望Gmail將郵件附件的內容以文件預覽的形式顯示給你。但事實並非如此,當你點擊之後,瀏覽器會在一個新標籤頁中打開一個Gmail郵箱釣魚頁面,並要求你再次進行Gmail郵箱登錄。一般來説,你會再檢查一次瀏覽器的地址欄,以確定地址中標有“accounts.google.com”等字樣。當你再一次完成了登錄操作之後,攻擊者也就成功地獲取到了你的賬號憑證。”
技術詳解
一切開始於一封看起來極其普通的電子郵件,唯一存在疑點的就是郵件中的那個附件文檔。由於我自己並不使用Gmail,所以我得用RoundCube郵箱客户端來打開附件,但此時這個附件並不會正常工作。所以攻擊者的目標必須是Gmail郵箱的用户,而且他必須將郵件製作成如下圖所示的樣子:
問題就在這了,郵件下方這個所謂的“附件”其實就是一張圖片。其相應的源碼如下:
嵌入其中的URL在經過兩次重定向之後才會到達目的地址,這種技術也是釣魚攻擊中常用的技術,因為在第一地址不可達的時候它會動態跳轉到後背地址。可怕的地方就在於,這個附件圖標所指向的URL地址從表面上看是一個合法地址:
此時,用户的瀏覽器並不會顯示任何的證書警告。安全研究專家經過分析之後發現,上面這個URL地址看起來並沒有什麼問題,但是它只是整個URL地址的一部分,它後面還跟有很多空格符,這樣就可以防止目標用户看到地址中的可疑字符串以及一個經過代碼混淆的腳本,而這個腳本可以在目標用户的瀏覽器中新建一個標籤頁,然後在新標籤中打開一個Gmail郵箱釣魚頁面。
攻擊者對他所使用的JavaScript腳本進行了簡單的混淆處理,但其實我們不需要對代碼進行反混淆也能夠知道這段代碼想要做什麼。
最後,代碼會被解析為一個簡單的iframe,這部分代碼是直接從Google網站上覆制過來的,但是攻擊者需要將用户信息發送給遠程服務器中的1.php文件來進行處理,這也是釣魚攻擊中常見的文件名,因為他們通常都很懶。
演示視頻
需要注意的是,這種類型的攻擊並不是最近才出現的,早在去年的七月份就已經有不少的受害者報告過類似的攻擊事件了。
這種攻擊技術的一個主要特點就是,網絡犯罪分子在獲取到用户的Gmail憑證之後,會立刻登錄該郵箱,然後再向該用户的所有聯繫人發送釣魚郵件。但是目前我們還不清楚攻擊者是否實現了整個攻擊過程的自動化。
安全專家Tom Scott在其Twitter上寫到:“這是我有生以來第一次如此地接近Gmail釣魚攻擊,要不是我的顯示器分辨率非常高而讓這個附件圖標失真了,否則我也不會發現任何的異常,估計我也就成為這種釣魚攻擊的受害者。”
雙因素身份驗證(2FA)是否有效?
與之前一樣,我們建議廣大用户儘可能地開啟Gmail郵箱的雙因素身份驗證(2FA)功能,以此來避免自己成為這種新型網絡釣魚攻擊的受害者。但是,如果網絡犯罪分子能夠立刻訪問被入侵的郵箱賬號,那麼他們同樣可以在釣魚頁面中顯示雙因素身份驗證碼。
一位安全研究人員在接受Hacker
News的採訪時説到:“雙因素身份驗證機制可以增加這種釣魚攻擊的難度,但是網絡釣魚攻擊也在變得越來越高端了。犯罪分子可以捕獲你所輸入的雙因素身份驗證碼,然後立刻利用你的2FA驗證碼和郵箱憑證建立一個新的通信會話。因此,硬件2FA(類似U盾)也許是防止這種釣魚攻擊的唯一方法。”
實際上,Google早在2016年3月份就已經發現了這種新型的網絡釣魚攻擊。正因如此,Chrome安全團隊才會在瀏覽器地址欄中用“Not
Secure”標籤來標識那些包含“data:”、“blob:”以及其他標籤的URL地址,因為釣魚攻擊者很有可能利用這些地址來進行黑客攻擊活動。
如何保護你自己
當你在登錄任何網絡服務的時候,一定要檢查瀏覽器地址欄是否有異常,然後驗證協議和主機名的合法性。當你用Chrome瀏覽器登錄Gmail郵箱的時候,地址欄所顯示的內容應該如下圖所示:
而網絡釣魚攻擊者會使用各種各樣的方法來顯示不安全頁面的協議,比如説在協議上用紅線劃過等等,如下圖所示:
在本文所描述的攻擊場景中,用户根本就不會看到任何的紅色或者綠色標記。他們只會看到一行普通的文本地址,具體如下圖所示:
因此,這也就是為什麼這種攻擊技術如此奏效的原因之一。此時,你要確保主機名“accounts.google.com”之前沒有其他一些不該出現的標籤,然後確保協議為HTTPS協議,並且前面要有一個綠色的logo鎖(不光要是綠色的,而且還要在地址的最左側)。如果你無法驗證協議和主機地址的合法性,那麼你就應該停下手中的操作,然後好好想想你是怎麼來到這個頁面的。
如果可以的話,開啟你每一個網絡服務的雙因素身份驗證功能。Gmail郵箱稱其為“兩步驗證”,你可以參考教程來開啟該功能。
如何了解自己的賬號是否被入侵了?
對於普通用户來説,目前還沒有什麼方法可以查看自己的賬號是否被入侵了,你唯一能做的就是立刻修改郵箱的密碼。一般來説,你應該每隔幾個月就修改一次密碼。
如果你使用的是Gmail的話,你可以查看郵箱的登錄操作記錄來確定除了你之外是否還有其他人登錄過你的郵箱。除此之外,你也可以訪問安全專家Troy Hunt所搭建的網站,這個網站在安全圈內非常有名,你只需要輸入自己的郵箱地址,然後點擊“查詢”按鈕,你可以在該網站的數據庫中查看自己的郵箱數據是否發生了泄漏。
參考鏈接:itsjack.cc/
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。
資料來源:雷鋒網
作者/編輯:知情人士