A Wordfence figyelmeztetést adott ki egy, a Gmail és más népszerű webes alkalmazások elleni elterjedt és hatékony adathalászati technikáról. A figyelmeztetés legfőbb célja a biztonságtudatos viselkedés fokozása, további cél a segítségnyújtás informatikával csak felhasználói szinten foglalkozók számára az adathalász támadások, hitelesítő adatok eltulajdonításának hatékony megelőzése érdekében.
Az új és hatékony adathalászati módszer az elmúlt időszakban főként a Google levelező szolgáltatását, a Gmail-t célozta meg, de más elterjedt szolgáltatások is célpontokká válhatnak. A módszer működése rendkívül egyszerű és nagyon megtévesztő. A támadó egy e-mailt küld az áldozata Gmail-címére annak egy ismerősétől, akinek már hasonló módon feltörték a postafiókját.
Az e-mail tartalmaz például egy képet egy csatolmányról és mivel a feladó ismert, ezért ez nem ad okot a gyanakvásra. A mellékelt képre kattintva előnézet helyett azonban egy újabb ablak ugrik fel, amely ismét a Gmail-be való belépéshez szükséges adatokat kéri be. A böngésző címsorában „accounts.google.com” felirat megjelenése megnyugtatja a felhasználót, és begépeli jelszavát. Ekkor már meg is valósul az adathalászat, a felhasználói adat kompromittálódása megtörtént.
A támadók röviddel azután, hogy megszerezték a felhasználó jelszavát, be is lépnek a postafiókba. Ott felhasználják valamelyik, épp aktuális tárgykörhöz tartozó meglévő levelezés csatolmányát és a címzetti listán szereplőknek levelet küldenek a felhasználó nevében, hogy az ő adataikat is megszerezzék az áldozatéhoz hasonló módon. Ha a támadó már hozzáfér a felhasználó postafiókjához, akkor ezen felül további károkat is okozhat, hiszen számos egyéb személyes adathoz is hozzájuthat, akár jelszó visszaállítást is kezdeményezhet más szolgáltatásokhoz.
Az ilyen és ehhez hasonló támadásokkal szembeni védekezés legfontosabb része, hogy mindig figyelmesen ellenőrizzük a böngésző címsorát, azaz, hogy a megfelelő, általunk kért weboldalon történik-e a bejelentkezés.
Egy ismert támadási módszer esetén az alábbi szöveg jelenik meg a címsorban:
data:text/html,https://accounts.google.com/ServiceLogin?service=mail…
A címsor bal szélén lévő „data:text/html” rész egy adat URL, amely okán egy egész file-t tartalmaz a böngészőnk címsora. Ezt használja ki az adathalász módszer, ugyanis ez a fájl fog megnyílni egy új ablakban, ezáltal létrehozva a hamisított Gmail-es belépési oldalt, ami a támadónak továbbítja felhasználó nevünket és jelszavunkat.
Tehát mindig szükséges ellenőrizni, hogy a „https” protokollt jelző rész előtt ne szerepeljen semmilyen előtag. Az eredeti Gmail belépés esetében például így kell kinézni a címsornak:
https://accounts.google.com/ServiceLogin?service =mail…
További fontos árulkodó jel lehet még, hogy a Gmail által is használt „https” protokoll esetén a címsor bal szélén (böngészőnként eltérő módon) egy lezárt zöld lakatnak kell megjelennie és a https feliratnak is zöld színűnek kell lennie. Ezek hiánya esetén a bejelentkezést célszerű megszakítani.
Az adathalászat megnehezítésére érdemes a két lépcsős azonosítást is engedélyezni.
Erről bővebben az alábbi linken olvashat: https://www.google.com/landing/2step/
Szintén hasznos a „Legutóbbi fióktevékenység” funkció, ahol az ellenőrizhető, hogy hol és mikor léptünk be postafiókunkba és hol vagyunk jelenleg is belépve. A gyanús bejelentkezéseket természetesen meg is szakíthatjuk!
Erről bővebben az alábbi linken olvashat: https://support.google.com/mail/answer/45938?hl=hu
Forrás:
https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/
