我妈妈(在Gmail中,使用Chrome浏览器)收到了朋友的Hotmail地址的电子邮件。她打开了电子邮件(很明显是网络钓鱼电子邮件)并单击了其中的链接。这打开了一个网页,上面载有大量医疗广告。她关闭了页面并删除了电子邮件。
单击链接时,她没有发现其他任何事情。例如,她没有看到下载开始,也没有在打开的页面上单击任何内容。
她单击的链接的URI为hxxp://23.88.82.34/d/?sururopo=duti&bugenugamaxo=aGViZTFzaGViZUBob3RtYWlsLmNvLnVr&id=anVuYWx4QGdvb2dsZW1haWwuY29t&dokofeyo=anVuYWx4 [请勿访问该地址!]
(尽管她当时不知道),大约有75封电子邮件是从她的Gmail地址发送到她选择的联系人中的。它们在她的Gmail帐户的“已发送邮件”列表中可见。这发生在格林尼治标准时间17:08到17:10之间。来源之一:
Return-Path: <lalala@googlemail.com>
Received: from localhost (host86-152-149-189.range86-152.btcentralplus.com. [86.152.149.189])
        by mx.google.com with ESMTPSA id r1sm16019263wia.5.2014.02.23.09.10.15
        for <lalala@hotmail.com>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Sun, 23 Feb 2014 09:10:16 -0800 (PST)
Message-ID: <530a2b78.8108b40a.6eac.5c3d@mx.google.com>
Date: Sun, 23 Feb 2014 09:10:16 -0800 (PST)
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: lalala@googlemail.com
Return-Path: lalala@googlemail.com
Subject: Bar gain

<span style=3D"VISIBILITY:hidden;display:none">Mount your brooms said Madam=
 Hooch Three   two   one  =20
</span><br /><u>lalala@googlemail.com has sent you 3 offline broadcast</u><=
br /><a href=3D"hxxp://23.88.82.8/d/?ba=3Djurofaxovu&maremiditigehavuve=3Da=
nVuYWx4QGdvb2dsZW1haWwuY29t&id=3DaGVsZW5fY19odWdoZXNAaG90bWFpbC5jb20=3D&guv=
iwafaloco=3DaGVsZW5fY19odWdoZXM=3D" >Locate Full Email Content</a>

这是Gmail“活动信息”窗口:

请注意,该列表中的IP地址86.152.149.189与
我妈妈的一位朋友报告说她收到了其中一封电子邮件,然后单击了其中的链接。她说自己的电子邮件帐户也发送了很多电子邮件。
我不知道发生这种事时我妈妈的IP地址是什么。大概是86.152.149.189。
我不知道这是怎么发生的。她有一个非常强大的密码(我现在已对其进行了更改),她没有将其用于其他任何用途,也没有在打开的页面中键入此密码。
实际上,如何单击链接中的链接电子邮件允许攻击者使用Gmail SMTP服务器作为我的妈妈进行身份验证,然后将大量电子邮件作为她的电子邮件发送给她的联系人?以及如何获得她的联系人的地址?
在Iserni的回答之后进行更新:
我的妈妈确认,在医疗广告页面关闭后,“ Gmail”要求输入密码时,她确实输入了Gmail密码。她的姑姑收到了一封电子邮件,还被要求输入她的Gmail登录详细信息。她说她这样做是因为原始电子邮件来自我妈妈。聪明的进攻

评论

您妈妈和她的朋友使用什么操作系统?朋友的浏览器?我自信地通过FF27在Ubuntu 13.10上访问了该页面。什么都没发生。 http是对的吗?

您将想在使用密码的任何地方更改该密码。如果她在银行网站上共享了该密码,则您可能还需要密切监视活动。您无需下载任何内容即可使计算机安全。您只需要访问一个恶意网站。如果她不知道链接是什么,可以给她一个教训,不要单击链接。

我所遵循的一个规则是,除非从书签或我自己键入网址,否则请不要登录电子邮件帐户

我强烈推荐MalwareBytes反恶意软件。一台计算机只要20英镑,即可获得终身许可证,并且它可以抢先阻止您的浏览器访问大多数恶意网站,同时又不引人注目且易于使用。除了成为满意的客户外,我绝对没有任何隶属关系。

此处将使用密码管理器作为辅助,因为由于无法识别域,因此pwd管理器不会自动填充gmail设置,提示用户必须手动登录pwd管理器才能获取gmail密码,从而立即引起怀疑?

#1 楼

重要说明:这是基于我从您的链接中获得的数据,但是服务器可能会实施某种保护。例如,一旦它向受害者发送了“银色子弹”,它可能会以伪造的“银色子弹”来回答相同的请求,从而使任何调查者误入歧途。我尝试发送伪造的cHVwcGFtZWxv参数来查看它是否触发了任何其他行为,但没有触发。尽管如此,这还是没有很大的保证。

UPDATE-上面的内容仍然有效,但是我一直在使用无法追溯到我的主会话的随机IP进​​行测试-攻击服务器不会区别对待,并且会很乐意回答不论浏览器,引荐来源以及JS / Flash / Java支持如何,都可以查询。


您收到的链接已经包含在URL中,并且包含以下参数-我对它们进行了些微更改因此正确的格式将不会出现在Google搜索Stack Exchange中(我交换了首字母)。

jebe1shebe@hotmail.co.uk
hunalx@googlemail.com


该链接会插入一个Javascript,该Javascript首先会检索您的通过Geotrack API调用定位,然后加载另一个脚本。 (我最初把它误认为是GMail命令;这很糟糕)。

第二个脚本加载了一个网页,但还显示了一些常用帐户的登录页面的副本(Hotmail,GMail等)取决于收到的电子邮件:GMail帐户会获得一个伪造的GMail页面,依此类推,所有这些页面都表示“哦,会话已过期!您愿意再次登录吗?”。

对于例如,单击此处(以防万一,登录GMail时请勿这样做),以防万一)

hxxp://23.88.82.8/d/?p=puppa@gmail.com&jq=SVQ7RmxvcmVuY2U=


将显示伪造的Google帐户登录信息(对于不存在的用户'puppa' )。

真实的登录页面来自

http://ww168.scvctlogin.com/login.srf?w...
http://ww837.https2-fb757a431bea02d1bef1fd12d814248dsessiongo4182-en.msgsecure128.com


,这是即弃字段。

接收被盗用户名和密码的服务器显然总是相同的,即31.204.154.125上的ShineServers机器,这是一个繁忙的小海狸。这些URL中的大多数已提交给各种服务,并且可以追溯到1月。

网络钓鱼和两因素身份验证

我对有用性有两种看法在这种情况下的TFA。在我看来,我很可能会误会或忽略了某些内容,


受害者单击链接
会被“断开连接”,并被网络钓鱼提示“重新连接”屏幕
输入[用户名和]密码
attacker尝试登录并重定向到“输入安全密码”
安全密码发送给受害者
attacker向受害者发送“ Enter “安全代码”屏幕
(大多数?)受害者也输入了安全代码
受害者帐户被盗
一个人该怎么办


检查删除出现在地址栏上的URL。验证SSL证书。
除非有书签或手动键入的链接,否则请不要登录任何内容,请注意常见的拼写错误。如果在导航过程中出现登录屏幕,请关闭浏览器然后重新打开。
要养成偏执的习惯,即总是先输入错误的密码,然后再使用“登录失败”屏幕上正确的密码,否则您将永远不会使用该密码。 。如果错误的密码被接受...(当然,攻击者可能总是对第一次尝试回答WRONG!。他必须权衡吓scar某些受害者的代价和捕获其他受害者的潜在利益。两次尝试可以忽略不计,两次尝试是他们的制胜法宝。如果每个人都这样做,那将是行不通的。)
有一些服务,例如@Subin指出的OpenDNS或嵌入在浏览器本身,可以根据分布式列表验证传入站点,并拒绝连接到已知的网络钓鱼站点。

开发人员可以做什么

也许,也许,也许有可能开发一个“该页面看起来与其他页面相似”的应用程序。可能会对系统造成沉重负担。如果HTML代码中包含“输入Google密码”且网址不是gmail,则其最基本且易于修改的形式,然后会出现一条带有红色的大横幅,上面写着“不要这么做”。

另一个(可修改)再次)可能是采用蜂蜜令牌方法,并拒绝包含密码的表单提交。

Google可以做什么

这有点像我的宠儿。网络钓鱼屏幕出于Pete的考虑,使用Google服务器上的数据,以便这些服务器可以清楚地看到您的母亲与网络钓鱼者的dot.com的引用者要求的登录徽标。这些服务器做什么?他们愉快地照原样提供徽标!如果我要管理这样的服务器,那么从不在我的网站上的任何页面请求您的头像图像(或任何图像),的确会得到图像。对于我选择的图像,我可能将永无止境。但是,几乎不可能有人愿意在这样的屏幕上输入他/她的密码。

当然,攻击者只会在其网站上镜像图像。但我还能想到许多其他技巧。例如,如果1.2.3.4上的浏览器要求我提供登录头像,那么我可能会警惕几秒钟后来自地址9.8.7.6的密码确认,尤其是如果其他帐户的其他密码来自最近几分钟的地址相同。

一个转折点:正如评论者的建议(我仍然要感谢其洞察力),Google实际上已经监督了传入的请求以及GMail显示的消息。通过一点数据分析,它几乎可以实时确定网络钓鱼站点,并且网络钓鱼者镜像站点并不会非常阻止这种分析(主要是基于从受害者那里获得的数据)。然后Google可以将已知站点的地址提供给浏览器扩展程序(例如Chrome站点保护)。

我仍然认为它们可以同时进行-保护登录屏幕并使用数据挖掘来找出谁网络钓鱼者是-但我会接受说Google实际上没有做任何事情是没有道理的。

更复杂的技巧

此外,我可能会使登录屏幕复杂化攻击者必须匹配的基于用户的挑战/响应,并且基于浏览器指纹。要登录,请从提示您的同一登录屏幕发送密码。这也很容易被挫败。

但是要做二十个简单的事情来破坏帐户是很困难的。另外,因为如果您正确执行了17项操作,我(服务器)会标记您的地址,并且如果您在接下来的几个小时内成功登录,则可能会将您重定向到伪造的沙箱帐户。然后我只看你在做什么。您做的很少,我会用真实的帐户复制,如果您说实话,您将永远不会知道。超过X个过于相似的电子邮件,或者发送速度太快,我会知道的。当然,该帐户将保持开放状态,并乐于接受您的所有垃圾邮件。为什么不。发送?好吧...那是另一回事了,不是吗?

评论


很好的调查。关于您的宠物烦恼-请花几分钟时间考虑一下此含义-这不是您的想法。 (如果您不明白-Y29saW4gKGRvdCkgbWNraW5ub24gKGF0KSBnbWFpbCAoZG90KSBjb20K)

–symcbean
2014年2月24日在10:58

我认为主要的问题是SSL保护连接的安全,而不是预期的安全。如果服务器有一种方法可以将意图直接携带给用户,并且可以安全地处理该意图,那么为非技术用户代理连接的窍门就消失了。不幸的是,那将需要浏览器支持(可能还要扩展DNS)。尽管如此,这仍然是一个有趣的话题。

– Stephane
2014年2月24日15:04

Google可以做什么:因为他们拥有gmail,所以理想的解决方案是查找从一个用户大量发送到另一个用户的电子邮件,并包含指向不可信站点的链接,并将其视为垃圾邮件。因此,用户永远不会首先看到电子邮件

– Daveo
2014-02-25 6:17



@lserni您可以使用OpenDns停止对网络钓鱼站点的访问。将其添加到答案的“可以做什么”部分。

– Subin
2014-2-27在8:36

如果我是Google,我会在登录页面上用大箭头指向浏览器的地址栏,并要求您验证地址(前提是攻击者没有使用unicode技巧来注册类似的域名),例如:在这里!它说google.com吗?”。

–张丹妮
16 Mar 5 '16 at 6:49



#2 楼

我的一位客户在您的母亲收到该邮件后不久就以这种确切方式被黑客入侵(进入Gmail活动信息显示的是完全相同的基于英国的IP地址)。

她只是被诱骗了一个小时后才见到我,因此在收到提示后便可以撤回所有步骤。

单击网络钓鱼链接后,她被带到一个充满广告的页面,其中打开了多个弹出窗口。她关闭了一个弹出窗口,以为自己“回到”了原来的位置,只是被带到了一个看起来像Gmail登录的窗口。

在这里输入了凭据,不久之后该帐户就被用来向其联系人列表中的每个人发送网络钓鱼电子邮件。

她的Gmail密码已重置,但幸运的是,使用SMS验证可以使用旧密码重置为新内容。

#3 楼

好吧,这是我的猜测。

可能发生的情况是,该网页具有影响浏览器的漏洞,它只是控制了浏览器本身,从而设法访问了GMail会话并用于发送GMail会话。从那里发送电子邮件。

漏洞利用程序甚至都没有破解密码。

评论


我考虑了这一点,但是那将是Chrome的巨大缺陷,我认为这不太可能。

–cja
2014年2月23日在20:22

另一种可能的情况是“不信任用户”众议院医学博士。您的母亲在注意到或不注意到允许访问GMail帐户的情况下单击了某些内容。

–千字节
2014年2月23日在20:25

@kiBytes,这似乎是最可能的解释。攻击序列确实提供了虚假的Google登录页面。

– Lerni
2014年2月24日在1:09

@lserni你说的很对。调查工作正在进行中。我只是相信解释的第二段,“她没有点击任何东西,也没有下载任何东西。因此,实际上,用户具有误导性(通常会发生这种情况)。

–千字节
2014年2月24日在6:48



鉴于访问日志显示了一大堆SMTP连接,而且发生这种情况的可能性很小,并且连接到SMTP的唯一方法是拥有密码(或“应用程序专用密码”),但思路相同)。

– Moshe Katz
2014-2-25在18:24