Широкое влияние: использование высокоэффективной фишинг-техники Gmail

Обновление от 24 февраля: Chrome решил эту проблему, к моему удовлетворению. Ранее в этом месяце они выпустили Chrome 56.0.2924, который изменяет поведение строки адреса. Если вы теперь просматриваете URL-адрес данных, в строке адреса отображается сообщение «Незащищенный», которое должно помочь пользователям понять, что они не должны доверять формам, представленным им через URL-адрес данных. Это поможет предотвратить эту специфическую технику фишинга.

Обновление в 23:30 во вторник, 17 января: я получил официальное заявление от Google по этому вопросу. Вы можете найти полное обновление в конце этого поста ,

Как вы знаете, в Wordfence мы иногда рассылаем оповещения о проблемах безопасности за пределами вселенной WordPress, которые являются неотложными и оказывают широкое влияние на наших клиентов и читателей. К сожалению, это одно из таких предупреждений. Существует очень эффективный метод фишинга, который крадет учетные данные для входа в систему, что оказывает большое влияние даже на опытных технических пользователей.

Я написал этот пост, чтобы его было легко читать и понимать. Я намеренно пропустил технические детали и сосредоточился на том, что вам нужно знать, чтобы защитить себя от этой фишинг-атаки и других подобных атак, в надежде донести свою мысль, особенно среди менее технических пользователей. Пожалуйста, поделитесь этим, как только вы прочитаете это, чтобы помочь повысить осведомленность и защитить сообщество.

В течение последнего года среди злоумышленников набирает популярность новая высокоэффективная фишинговая техника, нацеленная на Gmail и другие сервисы. За последние несколько недель были сообщения о том, что опытные технические пользователи пострадали от этого.

В настоящее время эта атака используется для таргетинга на клиентов Gmail, а также для других служб.

Способ атаки заключается в том, что злоумышленник отправит электронное письмо на вашу учетную запись Gmail. Это письмо может прийти от кого-то, кого вы знаете, кто взломал свой аккаунт с помощью этой техники. Он также может включать что-то, похожее на изображение вложения, которое вы узнаете от отправителя.

Вы нажимаете на изображение, ожидая, что Gmail предоставит вам предварительный просмотр вложения. Вместо этого открывается новая вкладка, и Gmail предлагает вам снова войти в систему. Вы смотрите на адресную строку, и там вы видите account.google.com . Это выглядит так ...

Вы идете вперед и входите на полностью функциональную страницу входа, которая выглядит следующим образом:

После того как вы выполните вход, ваша учетная запись будет взломана. комментатор на Hacker News в ясной форме описывает, что они испытали во время каникул после входа на поддельную страницу:

« Злоумышленники входят в вашу учетную запись сразу же после получения учетных данных, и они используют одно из ваших настоящих вложений вместе с одной из ваших фактических строк темы, и отправляют его людям в вашем списке контактов.

Например, они вошли в учетную запись одного студента, вытащили приложение с расписанием тренировок спортивной команды, сгенерировали снимок экрана, а затем соединили его с сюжетной линией, которая была тангенциально связана, и отправили ее по электронной почте другим членам спортивной команды. »

Вход злоумышленников в ваш аккаунт происходит очень быстро. Это может быть автоматизировано, или у них может быть команда, готовая обрабатывать учетные записи, поскольку они скомпрометированы.

Как только они получат доступ к вашей учетной записи, злоумышленник также получит полный доступ ко всем вашим электронным письмам, включая отправленные и полученные в этот момент, и может загрузить всю партию.

Теперь, когда они контролируют ваш адрес электронной почты, они также могут поставить под угрозу широкий спектр других услуг, которые вы используете, используя механизм сброса пароля, включая другие учетные записи электронной почты, любые используемые вами SaaS-сервисы и многое другое.

Выше я описал фишинговую атаку, которая используется для кражи имен пользователей и паролей в Gmail. Он используется сейчас с высокой степенью успеха. Однако этот метод может использоваться для кражи учетных данных со многих других платформ со многими вариациями в базовом методе.

Вам всегда говорили: « Проверьте строку адреса в вашем браузере, чтобы убедиться, что вы находитесь на нужном веб-сайте перед входом. Это позволит избежать фишинговых атак, которые украдут ваше имя пользователя и пароль».

В приведенной выше атаке вы сделали именно это и увидели « account.google.com » в строке адреса, поэтому вы пошли дальше и вошли в систему.

Чтобы защитить себя от этого, вам нужно изменить то, что вы проверяете в строке адреса.

Этот метод фишинга использует нечто, называемое «URI данных», чтобы включить полный файл в адресную строку браузера. Когда вы смотрите вверх на адресную строку браузера и видите «data: text / html… ..», это на самом деле очень длинная строка текста. Если вы расширите адресную строку, это будет выглядеть так:

Если вы расширите адресную строку, это будет выглядеть так:

Есть много пробелов, которые я удалил. Но в дальнем правом углу вы видите начало очень большого фрагмента текста. На самом деле это файл, который открывается в новой вкладке и создает полностью функциональную поддельную страницу входа в Gmail, которая отправляет ваши учетные данные злоумышленнику.

Как вы можете видеть в левой части окна браузера, вместо «https» у вас есть «data: text / html», за которым следует обычный «https: //accounts.google.com….». Если вы не уделяете пристального внимания, вы проигнорируете преамбулу «data: text / html» и предположите, что URL-адрес безопасен.

Вы, вероятно, думаете, что вы слишком умны, чтобы упасть на это . Оказывается, эта атака поймала или почти поймала нескольких технических пользователей, которые чирикнул , в блоге или же прокомментировал об этом. Есть конкретная причина, почему это так эффективно, что связано с человеческим восприятием. Я опишу это в следующем разделе.

Когда вы входите в какую-либо службу, проверьте адресную строку браузера и проверьте протокол, затем проверьте имя хоста. Это должно выглядеть в Chrome при входе в Gmail или Google:

Убедитесь, что перед именем хоста «account.google.com» нет ничего, кроме «https: //» и символа блокировки. Вы также должны обратить особое внимание на зеленый цвет и символ замка, который появляется слева. Если вы не можете проверить протокол и проверить имя хоста, остановитесь и подумайте, что вы только что нажали, чтобы перейти на эту страницу входа.

Включите двухфакторную аутентификацию, если она доступна для каждой службы, которую вы используете. GMail называет это «двухэтапной проверкой», и вы можете узнайте, как включить его на этой странице ,

Включение двухфакторной аутентификации значительно усложняет вход злоумышленникам в службу, которую вы используете, даже если им удается украсть ваш пароль с помощью этой техники. Я хотел бы отметить, что там это какое-то обсуждение это означает, что даже двухфакторная аутентификация может не защитить от этой атаки. Однако я не видел доказательства концепции, поэтому не могу подтвердить это.

Ответ Google чтобы клиент спрашивал об этом следующим образом:

«Адресная строка остается одним из немногих доверенных компонентов пользовательского интерфейса браузеров и является единственной, на которую можно полагаться в отношении того, какое происхождение посещают пользователи в настоящее время. Если пользователи не обращают внимания на адресную строку, фишинг и спуфинг, очевидно, тривиальны. К сожалению, именно так работает сеть, и любое исправление, например попытка обнаружить фишинговые страницы на основе их внешнего вида, будет легко обойтись сотнями способов. Часть data: URL здесь не так важна, как и фишинг на любой странице http [s].

Вероятно, это младший человек в организации, основанный на грамматических ошибках. Я не согласен с этим ответом по нескольким причинам:

В прошлом Google изменил поведение адресной строки, чтобы отображать зеленый цвет протокола, когда страница использует HTTPS, и значок блокировки, чтобы указать, что она безопасна.

Они также используют другой способ отображения протокола, когда страница небезопасна, помечая ее красным с линией, проходящей через нее:

Во время этой атаки пользователь не видит ни зеленого, ни красного. Они видят обычный черный текст:

Вот почему эта атака настолько эффективна. В дизайне пользовательского интерфейса и в человеческом восприятии элементы, которые связаны едиными визуальными свойствами, воспринимаются как более связанные, чем элементы, которые не связаны. [Прочитайте больше: Гештальт-принципы человеческого восприятия и «единой связности» а также Содержание Blindspots ]

В этом случае «data: text / html» и доверенное имя хоста одного цвета. Это наводит на мысль о том, что они связаны, и часть «data: text / html» либо не имеет значения, либо ей можно доверять.

В этом случае Google необходимо изменить способ отображения «data: text / html» в браузере. Там могут быть сценарии, где это безопасно, поэтому они могут использовать янтарный цвет с уникальным значком. Это предупредит наше восприятие о разнице, и мы рассмотрим это более внимательно.

У меня было два запроса в комментариях по этому поводу, поэтому я добавляю этот раздел сейчас. (в 9:39 по тихоокеанскому времени, в 12:39 по восточному поясному времени).

Не существует надежного способа проверить, была ли ваша учетная запись взломана. В случае сомнений немедленно смените пароль. Смена пароля каждые несколько месяцев - это хорошая практика.

Если вы используете GMail, вы можете проверить свою регистрационную активность, чтобы узнать, кто-то еще входит в вашу учетную запись. Визит https://support.google.com/mail/answer/45938?hl=en для информации. Чтобы использовать эту функцию, прокрутите до нижней части своего почтового ящика и нажмите «Детали» (очень маленький в крайнем правом нижнем углу экрана). Это покажет вам все текущие активные сеансы, а также вашу недавнюю историю входа. Если вы видите активные логины из неизвестных источников, вы можете принудительно закрыть их. Если вы видите в своей истории какие-либо логины из неизвестных вам мест, возможно, вас взломали. [Спасибо кругозор Я вставил ваш комментарий здесь почти дословно. Очень полезно.]

Существует надежный сайт, которым руководит Трой Хант, известный исследователь безопасности, где вы можете проверить, не являлась ли какая-либо из ваших учетных записей электронной почты частью утечки данных. Сайт Трои https://haveibeenpwned.com/ и это хорошо известно в кругах безопасности. Просто введите свой адрес электронной почты и нажмите кнопку.

Трой объединяет утечки данных в базу данных и дает вам возможность найти свою электронную почту в этой базе данных, чтобы узнать, не были ли вы частью взлома данных. Он также хорошо справляется с проверкой данных, которые ему отправляют.

Я поделюсь этим на Facebook, чтобы повысить осведомленность своей семьи и друзей. Эта атака невероятно эффективна, чтобы обмануть даже технических пользователей по причинам, которые я объяснил выше. У меня есть ощущение, что большинство обычных пользователей будут легко выбирать. Пожалуйста, поделитесь этим с сообществом, чтобы помочь повысить осведомленность и не допустить более широкого воздействия.

Марк Маундер - основатель / генеральный директор Wordfence - @mmaunder

Это обновление в 23:30 по тихоокеанскому времени во вторник, 17 января 2017 года. Со мной связался Аарон Стейн из Google Communications. Он предоставил следующее официальное заявление от Google:

« Мы знаем об этой проблеме и продолжаем укреплять нашу защиту от нее. Мы помогаем защитить пользователей от фишинговых атак различными способами, включая: обнаружение фишинговых сообщений на основе машинного обучения, предупреждения безопасного просмотра, которые уведомляют пользователей об опасных ссылках в электронных письмах и браузерах, предотвращая подозрительные входы в учетную запись и многое другое. Пользователи также могут активировать двухэтапную проверку для дополнительной защиты учетной записи. »

Я задал Аарону два дополнительных вопроса:

« Chrome 56 будет содержать текст« Незащищенный »в строке адреса на веб-сайтах без SSL, где страница содержит поле пароля или поле ввода кредитной карты. Это прекрасный пример визуальной индикации в строке адреса, которая помогает защитить пользователей. Рассматривает ли команда разработчиков Chrome визуальную индикацию в строке адреса браузера для URI данных? Это помогло бы победить эту атаку, потому что в настоящее время нет никакой визуальной индикации чего-либо неправильного при просмотре URI фишинговых данных. Стоит отметить, что в настоящее время система безопасного просмотра не может обнаружить вредоносные URI данных, поскольку в настоящее время она ориентирована на традиционные URL-адреса путей к хостам.

Второй вопрос: электронные письма, содержащие вредоносные URI данных, являются в этом случае вектором атаки. Рассматривает ли команда GMail какую-либо дополнительную фильтрацию или оповещения, связанные с URI данных, в качестве вложений в веб-приложении GMail?

Я думаю, что любое руководство, которое вы можете дать по двум вышеупомянутым вопросам, будет иметь большое значение для облегчения работы пользователей Chrome и GMail. »

Он ответил:

« Я не могу говорить с вещами, которые еще не вышли, но * пожалуйста * посмотрите это место. Должно быть больше, чтобы поделиться в ближайшее время »

Мои мысли об этом ответе:

Я думаю, что это вполне приемлемый ответ от Google. Чтобы было ясно, в организации Google есть несколько команд, на которые это влияет:

Команда браузеров Google Chrome будет осуществлять любые изменения в поведении строки адреса при просмотре URI фишинговых данных. Команда GMail внедрила бы фильтрацию и оповещение в приложении GMail с приложением URI данных, полученным с другими соответствующими фишинговыми маркерами. Команда безопасного просмотра Google может добавить поддержку URI вредоносных данных в GSB API и сделать ее доступной для команды браузеров Chrome.

Могут быть и другие части организации Google, которые касаются, в том числе операций.

Просить Аарона дать раннее руководство о том, как Google будет смягчать это, когда это затрагивает так много команд, было большой проблемой, но я был бы упущен, если бы не задал ему пару дополнительных вопросов. Хорошая новость заключается в том, что Google знает об этой проблеме, и у нас есть официальное заявление, которое указывает на то, что в будущих выпусках Chrome, GMail и, возможно, других продуктов будет что-то, что может помочь смягчить эту проблему.

Новости

Социальные сети в России, зима 2015-2016 Цифры, тренды, прогнозы | Блог Brand Analуtics — все о бренд мониторинге и социальной аналитике
Представляем данные регулярного исследования активной аудитории социальных сетей в России, зима 2015-2016. В исследовании представлены данные по аудитории, возрасту, полу и региональному распределению

SMM маркетинг от А до Я
Развитие социальных сетей породило новую огромную бизнес отрасль — СММ маркетинг. Это когда мы приходим с нашим продуктом в какую-нибудь соцсеть, находим там нашу целевую аудиторию, и предлагаем ей наш

Полезно знать
20.02.2014 Что такое Pinterest. Визуальный PR и маркетинг Pinterest или ПИНТЕРЕСТ – социальная сеть, использующая вместо текстов картинки и изображения, которые можно добавлять в аккаунт,

Фейсбук Моя страница: ВХОД на свою страницу Facebook
Фейсбук (Facebook) Моя страница — это личная страница каждого зарегистрированного пользователя самой большой в мире социальной сети.  Фейсбук даёт возможность людям с разных уголков Земли общаться между

Анализ социальных сетей
АНАЛИЗ СОЦИАЛЬНЫХ СЕТЕЙ (social network analysis) - новое направление структурного подхода, основными целями которого являются исследование взаимодействий между социальными объектами и выявление условий

Социальные сети для продвижения бизнеса: какие выбрать?
  Привет, друзья! Социальные сети занимают львиную часть времени в нашей жизни. Ежедневный просмотр новостей, любимых групп и переписка с друзьями – это любимое дело большинства молодых людей. Вот и

ВРЕДНОЕ ВЛИЯНИЕ СОЦИАЛЬНЫХ СЕТЕЙ НА ЗДОРОВЬЕ ЧЕЛОВЕКА - VI Студенческий научный форум (15 февраля - 31 марта 2014 года)
ВРЕДНОЕ ВЛИЯНИЕ СОЦИАЛЬНЫХ СЕТЕЙ НА ЗДОРОВЬЕ ЧЕЛОВЕКА Гущина Н. В., Люлина Н.В. С распространением всемирной паутины рост социальных сетей по всему миру стал глобальным явлением. С каждым

Влияние социальных сетей на подростков. Пропаганда суицида в сетях
Почему мы любим интернет? Почему молодым людям, подросткам сказать «Привет» стало проще, познакомившись в интернете, чем просто подойти в реальности? Почему все «сидят» в социальных сетях? Социальные сети

Маркетинг в социальных сетях (SMM) для продвижения компании
Деятельность в социальных сетях, на блогах и форумах по повышению лояльности клиентов получила название SMM — от аббревиатуры английского звучания этого термина – Social Media Marketing. Аудитория

Фейсбук (Facebook) - что это за сеть: как пользоваться ФБ
Фейсбук — это самая популярная и большая социальная сеть в мире. Если Вам интересно узнать больше о Facebook, про то как пользоваться сетью и о некоторых «фишках» ФБ — этот материал именно для вас!