技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?

简介:
 
   攻击事件概述

根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码。需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗。

攻击技术分析

攻击者会制作一个钓鱼网页,然后利用精心设计的URL地址来欺骗用户访问该页面,然后输入自己的账户凭证,这也是网络钓鱼攻击者惯用的伎俩。可能很多人读到这里,都会觉得钓鱼攻击离自己非常遥远,甚至会认为自己永远都不会遇到网络钓鱼。但是安全研究专家表示,他们所发现的这种新型网络钓鱼活动其攻击效率非常高,而且很多懂技术的人也难以幸免。

在这种攻击场景中,恶意信息是从目标用户通讯录中某位联系人的邮箱地址发送过来的,攻击者会在恶意邮件中添加看起来像一个PDF文档的图标。当用户打开了这封邮件之后,用户可以直接在Gmail邮箱中点击这个伪装PDF文档的图片。当目标用户点击了邮件信息中的“attachment”(附件)图标之后,用户会被重定向至一个由攻击者控制的Gmail邮箱钓鱼页面。

WordFence在其发布的研究报告中写到:“当你点击了这个“附件”之后,你会希望Gmail将邮件附件的内容以文件预览的形式显示给你。但事实并非如此,当你点击之后,浏览器会在一个新标签页中打开一个Gmail邮箱钓鱼页面,并要求你再次进行Gmail邮箱登录。一般来说,你会再检查一次浏览器的地址栏,以确定地址中标有“accounts.google.com”等字样。当你再一次完成了登录操作之后,攻击者也就成功地获取到了你的账号凭证。”

技术详解

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

一切开始于一封看起来极其普通的电子邮件,唯一存在疑点的就是邮件中的那个附件文档。由于我自己并不使用Gmail,所以我得用RoundCube邮箱客户端来打开附件,但此时这个附件并不会正常工作。所以攻击者的目标必须是Gmail邮箱的用户,而且他必须将邮件制作成如下图所示的样子:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

问题就在这了,邮件下方这个所谓的“附件”其实就是一张图片。其相应的源码如下:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

嵌入其中的URL在经过两次重定向之后才会到达目的地址,这种技术也是钓鱼攻击中常用的技术,因为在第一地址不可达的时候它会动态跳转到后背地址。可怕的地方就在于,这个附件图标所指向的URL地址从表面上看是一个合法地址:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

此时,用户的浏览器并不会显示任何的证书警告。安全研究专家经过分析之后发现,上面这个URL地址看起来并没有什么问题,但是它只是整个URL地址的一部分,它后面还跟有很多空格符,这样就可以防止目标用户看到地址中的可疑字符串以及一个经过代码混淆的脚本,而这个脚本可以在目标用户的浏览器中新建一个标签页,然后在新标签中打开一个Gmail邮箱钓鱼页面。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

攻击者对他所使用的JavaScript脚本进行了简单的混淆处理,但其实我们不需要对代码进行反混淆也能够知道这段代码想要做什么。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

最后,代码会被解析为一个简单的iframe,这部分代码是直接从Google网站上复制过来的,但是攻击者需要将用户信息发送给远程服务器中的1.php文件来进行处理,这也是钓鱼攻击中常见的文件名,因为他们通常都很懒。

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

演示视频

    

需要注意的是,这种类型的攻击并不是最近才出现的,早在去年的七月份就已经有不少的受害者报告过类似的攻击事件了。

这种攻击技术的一个主要特点就是,网络犯罪分子在获取到用户的Gmail凭证之后,会立刻登录该邮箱,然后再向该用户的所有联系人发送钓鱼邮件。但是目前我们还不清楚攻击者是否实现了整个攻击过程的自动化。

安全专家Tom Scott在其Twitter上写到:“这是我有生以来第一次如此地接近Gmail钓鱼攻击,要不是我的显示器分辨率非常高而让这个附件图标失真了,否则我也不会发现任何的异常,估计我也就成为这种钓鱼攻击的受害者。”

双因素身份验证(2FA)是否有效?

与之前一样,我们建议广大用户尽可能地开启Gmail邮箱的双因素身份验证(2FA)功能,以此来避免自己成为这种新型网络钓鱼攻击的受害者。但是,如果网络犯罪分子能够立刻访问被入侵的邮箱账号,那么他们同样可以在钓鱼页面中显示双因素身份验证码。

一位安全研究人员在接受Hacker News的采访时说到:“双因素身份验证机制可以增加这种钓鱼攻击的难度,但是网络钓鱼攻击也在变得越来越高端了。犯罪分子可以捕获你所输入的双因素身份验证码,然后立刻利用你的2FA验证码和邮箱凭证建立一个新的通信会话。因此,硬件2FA(类似U盾)也许是防止这种钓鱼攻击的唯一方法。”

实际上,Google早在2016年3月份就已经发现了这种新型的网络钓鱼攻击。正因如此,Chrome安全团队才会在浏览器地址栏中用“Not Secure”标签来标识那些包含“data:”、“blob:”以及其他标签的URL地址,因为钓鱼攻击者很有可能利用这些地址来进行黑客攻击活动。

如何保护你自己

当你在登录任何网络服务的时候,一定要检查浏览器地址栏是否有异常,然后验证协议和主机名的合法性。当你用Chrome浏览器登录Gmail邮箱的时候,地址栏所显示的内容应该如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

而网络钓鱼攻击者会使用各种各样的方法来显示不安全页面的协议,比如说在协议上用红线划过等等,如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

在本文所描述的攻击场景中,用户根本就不会看到任何的红色或者绿色标记。他们只会看到一行普通的文本地址,具体如下图所示:

技术解析:如何利用伪造的附件对Gmail用户进行钓鱼攻击?

因此,这也就是为什么这种攻击技术如此奏效的原因之一。此时,你要确保主机名“accounts.google.com”之前没有其他一些不该出现的标签,然后确保协议为HTTPS协议,并且前面要有一个绿色的logo锁(不光要是绿色的,而且还要在地址的最左侧)。如果你无法验证协议和主机地址的合法性,那么你就应该停下手中的操作,然后好好想想你是怎么来到这个页面的。

如果可以的话,开启你每一个网络服务的双因素身份验证功能。Gmail邮箱称其为“两步验证”,你可以参考教程来开启该功能。

如何了解自己的账号是否被入侵了?

对于普通用户来说,目前还没有什么方法可以查看自己的账号是否被入侵了,你唯一能做的就是立刻修改邮箱的密码。一般来说,你应该每隔几个月就修改一次密码。

如果你使用的是Gmail的话,你可以查看邮箱的登录操作记录来确定除了你之外是否还有其他人登录过你的邮箱。除此之外,你也可以访问安全专家Troy Hunt所搭建的网站,这个网站在安全圈内非常有名,你只需要输入自己的邮箱地址,然后点击“查询”按钮,你可以在该网站的数据库中查看自己的邮箱数据是否发生了泄漏。

       

  本文作者: 知情人士

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
24天前
|
存储 缓存 NoSQL
作者推荐 | 企业级缓存技术解析,你必须知道的“9“大技术问题与常见误区
本文将深入剖析导致上述问题的九大根源,并提供相应的解决方案。请注意,本文以Java为例进行代码演示,但同样适用于其他技术平台的朋友。只需根据相应技术平台替换相关代码即可!
436 0
作者推荐 | 企业级缓存技术解析,你必须知道的“9“大技术问题与常见误区
|
2天前
|
Java 应用服务中间件 API
深入解析Java Servlet技术在Web开发中的应用
深入解析Java Servlet技术在Web开发中的应用
|
7天前
|
数据采集 自然语言处理 监控
应用监控 eBPF 版:实现高效协议解析的技术探索
应用监控 eBPF 版:实现高效协议解析的技术探索
131229 0
|
7天前
|
人工智能 安全 大数据
开源软件全景解析:驱动技术创新与行业革新的力量
开源软件全景解析:驱动技术创新与行业革新的力量
376 0
开源软件全景解析:驱动技术创新与行业革新的力量
|
19天前
|
运维 Java Linux
深入解析:使用Docker容器化技术提升Java应用的部署效率
在快速迭代的软件开发周期中,如何保证应用的快速、一致和可靠部署成为了开发团队需要面对的重大挑战。本文将探讨如何利用Docker容器化技术,结合Java应用,实现高效、一致的部署流程。我们将从Docker的基本概念出发,详细介绍将Java应用容器化的步骤,包括创建Dockerfile、构建镜像以及运行容器等关键环节,并通过示例代码加以说明。此外,本文还将讨论在使用Docker部署Java应用时可能遇到的常见问题及其解决策略,旨在为读者提供一种提升部署效率、优化开发流程的有效方法。
247 2
|
22天前
|
缓存 开发者 Python
Python编程中的装饰器技术解析
本文将深入探讨Python编程中的装饰器技术,包括装饰器的基本概念、使用场景以及实际应用案例。通过了解装饰器的原理和灵活运用,读者可以提升代码的可维护性和扩展性,实现更优雅的编程。
|
27天前
|
机器学习/深度学习 人工智能 并行计算
英伟达系列显卡大解析B100、H200、L40S、A100、A800、H100、H800、V100如何选择,含架构技术和性能对比带你解决疑惑
英伟达系列显卡大解析B100、H200、L40S、A100、A800、H100、H800、V100如何选择,含架构技术和性能对比带你解决疑惑
英伟达系列显卡大解析B100、H200、L40S、A100、A800、H100、H800、V100如何选择,含架构技术和性能对比带你解决疑惑
|
1月前
|
Java 数据库连接 测试技术
进阶之路:高级Spring整合技术解析
进阶之路:高级Spring整合技术解析
|
1月前
|
vr&ar 开发者 Python
探索未来的现实世界:混合现实(AR)与增强现实(VR)技术的应用Python异步编程:解放性能的重要利器——异步IO库深入解析
在当今科技飞速发展的时代,混合现实(AR)和增强现实(VR)技术正迅速改变着我们对现实世界的认知和体验。本文将介绍这两种技术的基本原理以及它们在不同领域的广泛应用,包括教育、医疗、旅游、娱乐等。混合现实和增强现实技术为我们带来了全新的沉浸式体验,将人与数字世界融合在一起,为未来的现实世界带来无限可能。 在当今信息爆炸的时代,高效的编程方式成为开发者追求的目标。Python异步编程与其强大的异步IO库(例如asyncio)成为了解放性能的重要利器。本文将深入解析Python异步编程以及异步IO库的原理和使用方法,帮助读者进一步掌握这一技术,提升开发效率。
|
1月前
|
机器学习/深度学习 存储 并行计算
深入解析多目标优化技术:理论、实践与优化
深入解析多目标优化技术:理论、实践与优化
70 0

推荐镜像

更多