Как воруют вашу почту: gmail fishing

в 12:39, , рубрики: gmail, информационная безопасность, фейк, метки: , ,

image

Эта статья не претендует на сверх оригинальность и не раскрывает каких-то новых векторов атаки. Увидел серьезную реализацию «фейка» для гуглопочты и решил предупредить читатели.

Недавно на почту пришло интересное письмо, якобы о подтверждении/отмены автоматической пересылки на мой ящик.

image


Что сразу насторожило:

Gmаil Теаm­ no-reply@no-reply.com гугол вроде бы отвечает со своих доменов.

webforward@google.com has requested to automatically forward mail to your email
myprettygooglemailaccount@gmail.com.

Никакую пересылку я не устанавливал, да и адрес стрёмный.


Лезем в исходник письма и наблюдаем вот такое интересное кино:

Delivered-To: myprettygooglemailaccount@gmail.com
Received: by 10.52.15.234 with SMTP id a10csp64285vdd;
Fri, 13 Apr 2012 17:15:49 -0700 (PDT)
Received: by 10.216.132.169 with SMTP id o41mr2024248wei.121.1334362548500;
Fri, 13 Apr 2012 17:15:48 -0700 (PDT)
Return-Path: <play8189@4003.ru>
Received:from seromailco.com ([91.220.131.22])
by mx.google.com with ESMTPS id r8si11185472weq.31.2012.04.13.17.15.47
(version=TLSv1/SSLv3 cipher=OTHER);
Fri, 13 Apr 2012 17:15:48 -0700 (PDT)
Received-SPF: neutral (google.com: 91.220.131.22 is neither permitted nor denied by best guess record for domain of play8189@4003.ru) client-ip=91.220.131.22;
Authentication-Results: mx.google.com; spf=neutral (google.com: 91.220.131.22 is neither permitted nor denied by best guess record for domain of play8189@4003.ru) smtp.mail=play8189@4003.ru
Received: from apache by seromailco.com with local (Exim 4.72)
(envelope-from <play8189@4003.ru>)
id 1SIqpO-00026N-Vt
for myprettygooglemailaccount@gmail.com; Sat, 14 Apr 2012 02:26:59 +0200
Date: Sat, 14 Apr 2012 02:26:58 +0200
Message-Id: <E1SIqpO-00026N-Vt@seromailco.com>
To: myprettygooglemailaccount@gmail.com
Subject: =?utf-8?B?KCM4MzUyMDgwODMpIEdtYWlsIEZvcndhcmRpbmcgQ29uZmlybWF0aW9uIC0gUmVjZWl2ZSBFbWFpbHMgZnJvbSB3ZWJmb3J3YXJkQGdvb2dsZS5jb20=?=
X-PHP-Script: 4003.ru/sende/send.php for 94.228.220.68
From: =?utf-8?B?R23QsGlsINCi0LXQsG3CrQ==?= <no-reply@no-reply.com>
Content-type: text/html; charset=utf-8
Mime-Version: 1.0


Что там такое промелькнуло: 4003.ru/sende/ — анонимайлер.


Так, так. Что там от нас хотели? Чтобы отписаться, нужно пройти по ссылке:

https://mail.google.com/mail/vf-7c1083523-2vDb6Vv1a5G0cJEFvk_yq17eTQ0k

которая на самом деле:

http://acc.check-googlemail.com/inbox/135410f73da242f/ServiceLogin/ServiceLogin.php?email=myprettygooglemailaccount@gmail.com


Если перейти по ссылке (в мозилле уже блокируется), то попадем на фишинг страничку с фавиконом гугла и т.д.

image


Очень похоже на параноидальный гугол, который при любом чихе просит пароль. Если ввести пароль, он уйдет злоумышленнику, а при сабмите вас редиректит в вашу почту (вы ведь из нее не вышли, когда перешли по ссылке!).


Получается очень правдоподобная картина. Будте аккуратны.

Автор: exitusletaris

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js