Новый способ взлома Gmail

(adsbygoogle = window.adsbygoogle || []).push({});
Сегодня ночью многие пользователи Gmail получили уведомление о том, что они добавлены в список редакторов некого документа, хранящегося в Google Drive. Это письмо имело точно такой же вид, как стандартное уведомление сервиса о расшаривании файлов. Дополнительной убедительности письму придавал тот факт, что оно было отправлено от одного из людей, чей адрес имелся в списке контактов.

Хакер: На этот раз приманкой стали поддельные документы Google Docs.

Пользователи без всякой опаски переходили по ссылке, чтобы ознакомиться с документом. Здесь злоумышленники подготовили для них фишинговое приложение, которое запрашивало полный доступ к электронной почте. Это приложение было замаскировано под Google Drive: имело такую же иконку и название.

Хакер: Новый способ взлома Gmail

Далее зловредное приложение просит предоставить ему полный доступ к электронной почте. Если пользователь соглашается, то червь мигом рассылает себя по всем адресам из адресной книги (вот почему письма приходят от знакомых контактов).

В результате злоумышленники получают полный контроль над почтой. В том числе они могут удалять письма, читать их и даже отправлять корреспонденцию от имени жертвы. Им ничего не стоит сбросить пароль в любом сервисе, привязанном к этому почтовому ящику, и таким образом завладеть им.

Через несколько часов после начала эпидемии компания Google сообщила об отключении хакерского приложения, маскирующегося под Google Drive. Однако никто не даёт гарантии, что атака не повторится с использованием уже другой приманки.

Хакер: Новый способ взлома Gmail

Как обезопасить себя от фишинга подобного рода?

Прежде всего постарайтесь не открывать расшаренные гугл-документы без полной уверенности, что ими действительно поделился с вами реальный человек. Лучше послать лишнее письмо или даже позвонить, чтобы точно убедиться в безвредности полученного приглашения.
Читать дальше

Фишинговая атака, использующая особенности автозаполнения форм браузером

(adsbygoogle = window.adsbygoogle || []).push({}); Недавно на Github появилась интересная демка, состоящая всего из всего одной страницы. Она показывает, как можно украсть данные пользователя, злоупотребляя возможностями браузера.

Схема работы очень проста — в Google Chrome существует возможность автоматически заполнить поля ввода, которая работает, даже если вы находитесь на сайте первый раз. Зайдя на сайт пользователь может захотеть заполнить автоматически видимые поля — например имя и электронный адрес. Однако, если владелец сайта разместит невидимые поля ввода, то они так же буду заполнены.

<code><p>
        //Это поле пользователь видит
        <input id="name" name="name" type="text" placeholder="Your Name">
</p>
<p>
        //И это видит
        <input id="email" name="email" type="email" placeholder="Your Email">
</p>
<p style="margin-left:-500px">
        //А вот это уже не видит
        <input id="phone" name="phone" type="text" placeholder="Your Phone">
</p>
<p>
        //По нажатию этой кнопки будут отправлены все данные, включая телефон
        <input type="submit" value="Submit">
</p></code>
Anttiviljami (пользователь Github, который выложил демонстрационную страничку) пишет и про взаимодействие других браузеров с такой страницей. Так, в Firefox необходимо заполнять все поля по отдельности, а Safari сперва покажет пользователю список данных, которые подставляются в формы. Сама страница с демонстрацией уязвимости доступна на Github Pages. После нажатия кнопки Submit вам будут показаны данные, которые были бы переданы владельцу сайта.

Эта возможность вызвала резонанс у пользователей reddit. Большинство сочло такое поведение браузера не очевидным и очень даже опасным. Пользователь с ником Terr прокомментировал ето так:

Даже если бы браузер проверял со 100% точностью, что форма ввода не скрыта/перекрыта другой формой/замаскирована, проблема бы не ушла. Атакующий всё ещё имеет возможность разместить небольшое поле ввода там, где какая-то часть пользователей его не заметит.
Я не понимаю — что должен делать пользователь, чтобы регулярно посещать незнакомые вебсайты и на всех заполнять множество форм с адресом, телефоном и электронной почтой? Зачем эта возможность вообще нужна?
Читать дальше