it-swarm.dev

Non capisco come sia stato violato l'account Gmail di mia madre

Mia mamma (su Gmail, usando Chrome) ha ricevuto un'e-mail dall'indirizzo Hotmail di un amico. Ha aperto l'e-mail (ovviamente una e-mail di phishing) e ha fatto clic su un link al suo interno. Questo ha aperto una pagina web con un sacco di annunci medici su. Chiuse la pagina e cancellò l'e-mail.

Non ha notato nient'altro quando ha fatto clic sul collegamento. Ad esempio, non ha visto l'avvio del download e non ha fatto clic sulla pagina aperta.

L'URI del link su cui ha fatto clic era hxxp://23.88.82.34/d/?sururopo=duti&bugenugamaxo=aGViZTFzaGViZUBob3RtYWlsLmNvLnVr&id=anVuYWx4QGdvb2dsZW1haWwuY29t&dokofeyo=anVuYWx4 [NON visitare quell'indirizzo!]

Immediatamente (sebbene non lo sapesse al momento) circa 75 e-mail sono state inviate dal suo indirizzo Gmail a una selezione dei suoi contatti. Sono visibili nell'elenco Posta inviata nel suo account Gmail. Questo è successo tra le 17:08 e le 17:10 GMT. Ecco la fonte di uno:

Return-Path: <[email protected]>
Received: from localhost (Host86-152-149-189.range86-152.btcentralplus.com. [86.152.149.189])
        by mx.google.com with ESMTPSA id r1sm16019263wia.5.2014.02.23.09.10.15
        for <[email protected]>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Sun, 23 Feb 2014 09:10:16 -0800 (PST)
Message-ID: <[email protected]>
Date: Sun, 23 Feb 2014 09:10:16 -0800 (PST)
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: [email protected]
Return-Path: [email protected]
Subject: Bar gain

<span style=3D"VISIBILITY:hidden;display:none">Mount your brooms said Madam=
 Hooch Three   two   one  =20
</span><br /><u>[email protected] has sent you 3 offline broadcast</u><=
br /><a href=3D"hxxp://23.88.82.8/d/?ba=3Djurofaxovu&maremiditigehavuve=3Da=
nVuYWx4QGdvb2dsZW1haWwuY29t&id=3DaGVsZW5fY19odWdoZXNAaG90bWFpbC5jb20=3D&guv=
iwafaloco=3DaGVsZW5fY19odWdoZXM=3D" >Locate Full Email Content</a>

Ecco la finestra "Informazioni sull'attività" di Gmail: enter image description here

Si noti che l'indirizzo IP in tale elenco, 86.152.149.189, è lo stesso dell'intestazione dell'email.

Una delle amiche di mia mamma riferisce di aver ricevuto una delle e-mail e di aver cliccato sul link in essa contenuto. Dice che il suo account e-mail ha quindi inviato anche un sacco di e-mail.

Non so quale fosse l'indirizzo IP di mia madre al momento in cui è successo. Quindi forse era 86.152.149.189.

Non capisco come sia successo. Aveva una password straordinariamente forte (che ora ho cambiato) che non usa per nient'altro e non ha inserito questa password nella pagina che si è aperta.

Come mai un clic su un collegamento in un'e-mail può consentire a un utente malintenzionato di autenticarsi con il server SMTP di Gmail come mia mamma e quindi di inviare un carico di e-mail ai suoi contatti? E come avrebbe potuto ottenere gli indirizzi dei suoi contatti?

Aggiornamento successivo alla risposta di Iserni:

Mia mamma conferma che ha effettivamente inserito la sua password Gmail quando "Gmail" l'ha richiesta dopo la chiusura della pagina delle pubblicità mediche. Sua zia ha ricevuto una delle e-mail e le è stato anche chiesto di inserire i dettagli di accesso a Gmail. Dice di averlo fatto perché l'e-mail originale proveniva da mia mamma. Attacco intelligente

189
cja

[~ # ~] important [~ # ~] : si basa sui dati che ho ricevuto dal tuo link, ma il server potrebbe implementare una certa protezione. Ad esempio, una volta che ha inviato il suo "proiettile d'argento" contro una vittima, potrebbe rispondere con un falso "proiettile d'argento" alla stessa richiesta, in modo che chiunque indaghi venga smarrito. Ho provato a inviare un parametro falso di cHVwcGFtZWxv per vedere se ha innescato un comportamento diverso, e non lo ha fatto. Tuttavia, non è una grande garanzia.

[~ # ~] update [~ # ~] - quanto sopra vale ancora, ma sto facendo dei test da IP casuali non rintracciabili al mio principale sessione: il server che attacca non discrimina e risponderà allegramente a una query indipendentemente dal browser, dal referer e dal supporto JS/Flash/Java.


Il link che hai ricevuto conteneva, già incorporato nell'URL, i seguenti parametri: li ho leggermente modificati in modo che il modulo corretto non comparisse nelle ricerche su Google di Stack Exchange (ho scambiato le prime lettere).

[email protected]
[email protected]

Il link inietta un Javascript che prima di tutto recupera la tua posizione attraverso una chiamata all'API Geotrack, quindi carica un altro script. ( Inizialmente avevo scambiato questo per un comando GMail; il mio male).

Il secondo script carica una pagina web, ma anche presenta diverse repliche delle pagine di accesso degli account popolari (Hotmail, GMail e così via) a seconda dell'email in arrivo: gli account GMail ottengono una pagina GMail falsa, e così via, tutte queste pagine che dicono ciò che equivale a "Oooh, sessione scaduta! Ti dispiacerebbe accedere di nuovo?".

Ad esempio, facendo clic qui ( non non eseguire questa operazione durante l'accesso a GMail, per ogni evenienza)

hxxp://23.88.82.8/d/[email protected]&jq=SVQ7RmxvcmVuY2U=

visualizzerà un accesso all'account Google falso (per un utente inesistente "puppa").

Le vere pagine di accesso provengono da

http://ww168.scvctlogin.com/login.srf?w...
http://ww837.https2-fb757a431bea02d1bef1fd12d814248dsessiongo4182-en.msgsecure128.com

che sono domini di fuoco e dimentica.

Il server che riceve i nomi utente e le password rubati è apparentemente sempre lo stesso, una macchina ShineServers il 31.204.154.125, un piccolo castoro occupato . La maggior parte di questi URL sono stati inviati a vari servizi e sono stati visti fino a gennaio.

Phishing e autenticazione a due fattori

Ho due idee sull'utilità di TFA nello scenario this. A mio avviso, e potrei sbagliarmi o trascurare qualcosa,

  • la vittima fa clic sul collegamento
  • viene "disconnesso" e viene richiesto di "riconnettersi" da una schermata di phishing
  • inserisce [nome utente e] password
  • un utente malintenzionato tenta l'accesso e viene reindirizzato su "Inserisci codice protetto"
  • un codice sicuro viene inviato alla vittima
  • l'attaccante invia alla vittima una schermata "Inserisci codice protetto"
  • (la maggior parte?) anche le vittime inseriscono un codice sicuro
  • l'account della vittima è compromesso

Cosa si potrebbe fare

  • Controlla l'URL che appare sulla barra degli indirizzi. Verifica certificati SSL.
  • Non accedere mai a nulla a meno che non provenga da un segnalibro o da un collegamento digitato manualmente, prestando attenzione ai comuni errori di ortografia. Se durante la navigazione viene visualizzata una schermata di accesso, basta chiudere il browser e riaprirlo.
  • Prendi l'abitudine paranoica di inserire sempre prima una password errata, quella che non utilizzeresti mai, quindi quella corretta nella schermata "Accesso fallito". Se viene accettata la password errata ... (ovviamente, l'attaccante potrebbe sempre rispondere SBAGLIATO! Al primo tentativo. Deve bilanciare il costo di spaventare alcune vittime con il potenziale beneficio di catturarne altre. Fino a quando il numero di i due tentativi sono trascurabili, i due tentativi sono una strategia vincente per loro. Se tutti lo fanno, non funzionerà).
  • Esistono servizi, come OpenDNS, come sottolineato da @Subin, o incorporato nel browser stesso, che verifica il sito in arrivo rispetto a un elenco distribuito e si rifiuta di connettersi a un sito di phishing noto.

Cosa potrebbe fare uno sviluppatore

Forse, forse, sarebbe possibile sviluppare un'applicazione "Questa pagina assomiglia a questa altra pagina". Probabilmente sarebbe terribilmente pesante sul sistema. Nella sua forma più semplice e thwartable, se il codice HTML contiene "Inserisci la password di Google" e l'URL è non gmail, allora un grande appare un banner rosso sangue che dice SOLO NON FARE.

Un'altra possibilità (di nuovo risolvibile) è quella di utilizzare un approccio honey-token e negare l'invio di moduli che contengono una password.

Cosa potrebbe fare Google

Questo è un po 'una mia piccola pipì. La schermata di phishing utilizza i dati sui server di Google, per amor di Pete, in modo che quei server vedano chiaramente un logo di accesso richiesto da tua madre con un referente di phishers'r'us dot com . Cosa fanno quei server? Servono allegramente il logo così com'è! Se [~ # ~] i [~ # ~] dovevo gestire un server del genere, una richiesta per l'immagine del tuo avatar (o qualsiasi immagine) da qualsiasi pagina no sul mio sito, sì, effettivamente ottenere un'immagine. Probabilmente non finirei nei guai per l'immagine che sceglierei. Ma sarebbe molto improbabile che qualcuno inserisse volontariamente la propria password su tale schermo.

Naturalmente, gli aggressori rispeccherebbero semplicemente le immagini sui loro siti Web. Ma riesco a pensare a molti altri trucchi. Ad esempio, se un browser su 1.2.3.4 mi chiedesse un avatar di accesso, potrei diffidare di una conferma della password proveniente dall'indirizzo 9.8.7.6 pochi secondi dopo, specialmente se altre password per altri account era arrivato in circostanze simili dallo stesso indirizzo negli ultimi minuti.

Una svolta : come suggerito da un commentatore (che devo ancora ringraziare per la comprensione), Google ha effettivamente supervisionato le richieste in arrivo così come i messaggi visualizzati da GMail. Con un po 'di analisi dei dati, può quindi conoscere con certezza i siti di phishing quasi in tempo reale e i siti di mirroring dei phishing non contrastano molto questo tipo di analisi (si basa principalmente su dati raccolti dalla vittima). Quindi Google può fornire gli indirizzi di siti noti a un'estensione del browser (ad esempio Chrome protezione del sito).

Penso ancora che potrebbero fare entrambi - difendere la schermata di accesso e utilizzare il data mining per scoprire chi sono i phisher - ma accetterò che io non sono giustificato nel dire che Google sta effettivamente facendo niente.

Trucchi più complicati

Inoltre, potrei complicare la schermata di accesso con sfide/risposte invisibili all'utente che l'utente malintenzionato dovrebbe associare e in base all'impronta digitale del browser. Vuoi accedere, invii la password dalla stessa schermata di accesso che ti ha richiesto. Anche questo può essere contrastato, abbastanza facilmente.

Ma dover fare venti semplici cose per compromettere un account è difficile. Anche perché se fai diciassette anni, io (il server) contrassegno il tuo indirizzo e forse ti reindirizzerò a un account sandbox falso se riesci ad accedere nelle prossime ore. E poi guardo solo quello che fai. Fai poco, mi replica sul conto reale e se sei onesto, non lo saprai nemmeno. Più di X e-mail troppo simili o inviate troppo velocemente, e lo saprò. Naturalmente l'account rimarrà aperto e accetterà senza riserve tutto il tuo spam. Perchè no. Invia vero? Bene ... questa è un'altra cosa, ora, no?

265
LSerni

Ho avuto un cliente che è stato violato in questo esatto modo (andando nelle informazioni sull'attività di Gmail hanno mostrato gli stessi indirizzi IP con sede nel Regno Unito) poco dopo che tua madre l'ha ricevuto.

Era stata phishing solo un'ora prima di vedermi, quindi dopo essere stata sollecitata è stata in grado di ricordare tutti i passaggi.

Dopo aver fatto clic sul collegamento phishing, è stata portata a una pagina piena di annunci in cui si aprivano più finestre popup. Chiuse una delle finestre popup, pensando di essere "tornata" a dove era, solo per essere portata in una finestra che sembrava un accesso a Gmail.

È stato qui che sono state immesse le credenziali e non molto tempo dopo l'account è stato utilizzato per inviare e-mail di phishing a tutti i suoi membri nell'elenco dei contatti.

La sua password Gmail è stata ripristinata, ma fortunatamente usando SMS è stata in grado di usare la vecchia password per ripristinare qualcosa di nuovo.

8
Jeremy Visser

Bene, ecco la mia ipotesi.

Probabilmente quello che è successo è che la pagina web ha avuto un exploit che influenza il browser e semplicemente ha preso il controllo del browser stesso è riuscito ad accedere alla sessione GMail e utilizzato per inviare l'e-mail da lì.

Probabilmente l'exploit non ha nemmeno violato la password.

0
kiBytes