Новый способ взлома Gmail

Сегодня ночью многие пользователи Gmail получили уведомление о том, что они добавлены в список редакторов некого документа, хранящегося в Google Drive. Это письмо имело точно такой же вид, как стандартное уведомление сервиса о расшаривании файлов. Дополнительной убедительности письму придавал тот факт, что оно было отправлено от одного из людей, чей адрес имелся в списке контактов.

Хакер: На этот раз приманкой стали поддельные документы Google Docs.

Пользователи без всякой опаски переходили по ссылке, чтобы ознакомиться с документом. Здесь злоумышленники подготовили для них фишинговое приложение, которое запрашивало полный доступ к электронной почте. Это приложение было замаскировано под Google Drive: имело такую же иконку и название.

Хакер: Новый способ взлома Gmail

Далее зловредное приложение просит предоставить ему полный доступ к электронной почте. Если пользователь соглашается, то червь мигом рассылает себя по всем адресам из адресной книги (вот почему письма приходят от знакомых контактов).

В результате злоумышленники получают полный контроль над почтой. В том числе они могут удалять письма, читать их и даже отправлять корреспонденцию от имени жертвы. Им ничего не стоит сбросить пароль в любом сервисе, привязанном к этому почтовому ящику, и таким образом завладеть им.

Через несколько часов после начала эпидемии компания Google сообщила об отключении хакерского приложения, маскирующегося под Google Drive. Однако никто не даёт гарантии, что атака не повторится с использованием уже другой приманки.

Хакер: Новый способ взлома Gmail

Как обезопасить себя от фишинга подобного рода?

Прежде всего постарайтесь не открывать расшаренные гугл-документы без полной уверенности, что ими действительно поделился с вами реальный человек. Лучше послать лишнее письмо или даже позвонить, чтобы точно убедиться в безвредности полученного приглашения.
Читать дальше

Фишинговая атака, использующая особенности автозаполнения форм браузером

Недавно на Github появилась интересная демка, состоящая всего из всего одной страницы. Она показывает, как можно украсть данные пользователя, злоупотребляя возможностями браузера.

Схема работы очень проста — в Google Chrome существует возможность автоматически заполнить поля ввода, которая работает, даже если вы находитесь на сайте первый раз. Зайдя на сайт пользователь может захотеть заполнить автоматически видимые поля — например имя и электронный адрес. Однако, если владелец сайта разместит невидимые поля ввода, то они так же буду заполнены.

<code><p>
        //Это поле пользователь видит
        <input id="name" name="name" type="text" placeholder="Your Name">
</p>
<p>
        //И это видит
        <input id="email" name="email" type="email" placeholder="Your Email">
</p>
<p style="margin-left:-500px">
        //А вот это уже не видит
        <input id="phone" name="phone" type="text" placeholder="Your Phone">
</p>
<p>
        //По нажатию этой кнопки будут отправлены все данные, включая телефон
        <input type="submit" value="Submit">
</p></code>
Anttiviljami (пользователь Github, который выложил демонстрационную страничку) пишет и про взаимодействие других браузеров с такой страницей. Так, в Firefox необходимо заполнять все поля по отдельности, а Safari сперва покажет пользователю список данных, которые подставляются в формы. Сама страница с демонстрацией уязвимости доступна на Github Pages. После нажатия кнопки Submit вам будут показаны данные, которые были бы переданы владельцу сайта.

Эта возможность вызвала резонанс у пользователей reddit. Большинство сочло такое поведение браузера не очевидным и очень даже опасным. Пользователь с ником Terr прокомментировал ето так:

Даже если бы браузер проверял со 100% точностью, что форма ввода не скрыта/перекрыта другой формой/замаскирована, проблема бы не ушла. Атакующий всё ещё имеет возможность разместить небольшое поле ввода там, где какая-то часть пользователей его не заметит.
Я не понимаю — что должен делать пользователь, чтобы регулярно посещать незнакомые вебсайты и на всех заполнять множество форм с адресом, телефоном и электронной почтой? Зачем эта возможность вообще нужна?
Читать дальше