开发者社区> 泡泡浅眠> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

简介:
+关注继续查看

攻击事件概述

根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码。需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗。

攻击技术分析

攻击者会制作一个钓鱼网页,然后利用精心设计的URL地址来欺骗用户访问该页面,然后输入自己的账户凭证,这也是网络钓鱼攻击者惯用的伎俩。可能很多人读到这里,都会觉得钓鱼攻击离自己非常遥远,甚至会认为自己永远都不会遇到网络钓鱼。但是安全研究专家表示,他们所发现的这种新型网络钓鱼活动其攻击效率非常高,而且很多懂技术的人也难以幸免。

在这种攻击场景中,恶意信息是从目标用户通讯录中某位联系人的邮箱地址发送过来的,攻击者会在恶意邮件中添加看起来像一个PDF文档的图标。当用户打开了这封邮件之后,用户可以直接在Gmail邮箱中点击这个伪装PDF文档的图片。当目标用户点击了邮件信息中的“attachment”(附件)图标之后,用户会被重定向至一个由攻击者控制的Gmail邮箱钓鱼页面。

WordFence在其发布的研究报告中写到:“当你点击了这个“附件”之后,你会希望Gmail将邮件附件的内容以文件预览的形式显示给你。但事实并非如此,当你点击之后,浏览器会在一个新标签页中打开一个Gmail邮箱钓鱼页面,并要求你再次进行Gmail邮箱登录。一般来说,你会再检查一次浏览器的地址栏,以确定地址中标有“accounts.google.com”等字样。当你再一次完成了登录操作之后,攻击者也就成功地获取到了你的账号凭证。”

技术详解

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

一切开始于一封看起来极其普通的电子邮件,唯一存在疑点的就是邮件中的那个附件文档。由于我自己并不使用Gmail,所以我得用RoundCube邮箱客户端来打开附件,但此时这个附件并不会正常工作。所以攻击者的目标必须是Gmail邮箱的用户,而且他必须将邮件制作成如下图所示的样子:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

问题就在这了,邮件下方这个所谓的“附件”其实就是一张图片。其相应的源码如下:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

嵌入其中的URL在经过两次重定向之后才会到达目的地址,这种技术也是钓鱼攻击中常用的技术,因为在第一地址不可达的时候它会动态跳转到后背地址。可怕的地方就在于,这个附件图标所指向的URL地址从表面上看是一个合法地址:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

此时,用户的浏览器并不会显示任何的证书警告。安全研究专家经过分析之后发现,上面这个URL地址看起来并没有什么问题,但是它只是整个URL地址的一部分,它后面还跟有很多空格符,这样就可以防止目标用户看到地址中的可疑字符串以及一个经过代码混淆的脚本,而这个脚本可以在目标用户的浏览器中新建一个标签页,然后在新标签中打开一个Gmail邮箱钓鱼页面。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

攻击者对他所使用的JavaScript脚本进行了简单的混淆处理,但其实我们不需要对代码进行反混淆也能够知道这段代码想要做什么。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

最后,代码会被解析为一个简单的iframe,这部分代码是直接从Google网站上复制过来的,但是攻击者需要将用户信息发送给远程服务器中的1.php文件来进行处理,这也是钓鱼攻击中常见的文件名,因为他们通常都很懒。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

  演示视频

需要注意的是,这种类型的攻击并不是最近才出现的,早在去年的七月份就已经有不少的受害者报告过类似的攻击事件了。

这种攻击技术的一个主要特点就是,网络犯罪分子在获取到用户的Gmail凭证之后,会立刻登录该邮箱,然后再向该用户的所有联系人发送钓鱼邮件。但是目前我们还不清楚攻击者是否实现了整个攻击过程的自动化。

安全专家Tom Scott在其Twitter上写到:“这是我有生以来第一次如此地接近Gmail钓鱼攻击,要不是我的显示器分辨率非常高而让这个附件图标失真了,否则我也不会发现任何的异常,估计我也就成为这种钓鱼攻击的受害者。”

双因素身份验证(2FA)是否有效?

与之前一样,我们建议广大用户尽可能地开启Gmail邮箱的双因素身份验证(2FA)功能,以此来避免自己成为这种新型网络钓鱼攻击的受害者。但是,如果网络犯罪分子能够立刻访问被入侵的邮箱账号,那么他们同样可以在钓鱼页面中显示双因素身份验证码。

一位安全研究人员在接受Hacker News的采访时说到:“双因素身份验证机制可以增加这种钓鱼攻击的难度,但是网络钓鱼攻击也在变得越来越高端了。犯罪分子可以捕获你所输入的双因素身份验证码,然后立刻利用你的2FA验证码和邮箱凭证建立一个新的通信会话。因此,硬件2FA(类似U盾)也许是防止这种钓鱼攻击的唯一方法。”

实际上,Google早在2016年3月份就已经发现了这种新型的网络钓鱼攻击。正因如此,Chrome安全团队才会在浏览器地址栏中用“Not Secure”标签来标识那些包含“data:”、“blob:”以及其他标签的URL地址,因为钓鱼攻击者很有可能利用这些地址来进行黑客攻击活动。

如何保护你自己

当你在登录任何网络服务的时候,一定要检查浏览器地址栏是否有异常,然后验证协议和主机名的合法性。当你用Chrome浏览器登录Gmail邮箱的时候,地址栏所显示的内容应该如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

而网络钓鱼攻击者会使用各种各样的方法来显示不安全页面的协议,比如说在协议上用红线划过等等,如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

在本文所描述的攻击场景中,用户根本就不会看到任何的红色或者绿色标记。他们只会看到一行普通的文本地址,具体如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

因此,这也就是为什么这种攻击技术如此奏效的原因之一。此时,你要确保主机名“accounts.google.com”之前没有其他一些不该出现的标签,然后确保协议为HTTPS协议,并且前面要有一个绿色的logo锁(不光要是绿色的,而且还要在地址的最左侧)。如果你无法验证协议和主机地址的合法性,那么你就应该停下手中的操作,然后好好想想你是怎么来到这个页面的。

如果可以的话,开启你每一个网络服务的双因素身份验证功能。Gmail邮箱称其为“两步验证”,你可以参考教程来开启该功能。

如何了解自己的账号是否被入侵了?

对于普通用户来说,目前还没有什么方法可以查看自己的账号是否被入侵了,你唯一能做的就是立刻修改邮箱的密码。一般来说,你应该每隔几个月就修改一次密码。

如果你使用的是Gmail的话,你可以查看邮箱的登录操作记录来确定除了你之外是否还有其他人登录过你的邮箱。除此之外,你也可以访问安全专家Troy Hunt所搭建的网站,这个网站在安全圈内非常有名,你只需要输入自己的邮箱地址,然后点击“查询”按钮,你可以在该网站的数据库中查看自己的邮箱数据是否发生了泄漏。


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
百度网址安全中心提醒您该页面可能存在钓鱼欺诈信息处理解决办法
2018年8月份初正值炎热酷暑的夏天,我们sine安全公司接到新客户的安全反映,说是他们公司网站首页标题被黑客篡改成赌博的内容,导致网站在百度搜索里红色风险提示,百度快照搜索关键词显示:百度网址安全中心提醒您:该页面可能存在钓鱼欺诈信息!而且网站在百度收录里,收录了许多赌博,博彩内容的百度快照,直接导致网站被主机服务商,给拦截阻断提示,直接打不开网站了,要求该客户自行检查网站的内容以及违规内容生成的文件和目录.
0 0
QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练
不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。
0 0
如何用一张图片入侵Whatsapp和Telegram账户?
本文讲的是如何用一张图片入侵Whatsapp和Telegram账户?,下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。
2585 0
新型Gmail钓鱼攻击连最谨慎的用户都会中招
本文讲的是新型Gmail钓鱼攻击连最谨慎的用户都会中招,一种新型网络钓鱼技术可诱使互联网用户将Gmail账户拱手交给黑客
1072 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
如何产生威胁情报-高级恶意攻击案例分析
立即下载
微信客户端怎样应对弱网络
立即下载
网站/服务器取证实践与挑战
立即下载