Onderzoekers hebben ontdekt dat er een nieuwe phishing-aanval die momenteel aan de gang die is getarget op zowel Google Gmail-accounts in een verfijnde manier.
Wat interessant is aan deze specifieke aanval is het gebruik van een nieuwe methode, dat zou eens te lokken tech-savvy gebruikers in zijn val.
De aanvallen beginnen met een verminderde Gmail-accounts. De aanvallers gebruiken de besmette account e-mails versturen naar e-mailadressen in het gedrang komt account adresboek.
Deze e-mails afkomstig zijn van een geldige adres dus, en de aanvallers lijken het gebruik van legitieme e-mailberichten voor de aanvallen. Ze bevatten wat eruit ziet als een bijlage een PDF-of spreadsheet-bijvoorbeeld zoiets als die is verzonden in het verleden al.
Wanneer u klikt op de bijlage, wordt u naar een Gmail login pagina op een nieuw tabblad in de browser.
Deze pagina ziet er als Google ‘ s Gmail login pagina, en de enige aanwijzing dat er iets mis is afkomstig van het veld adres.
Het begint niet met https://accounts.google.com/, maar met data:text/html. Ook, sinds de pagina is niet HTTPS, je het niet krijgen van een groene of rode indicator. Dat zijn de enige indicatoren dat er iets mis is. Als u kopiëren en plakken van de URL, zal je merken dat er een spatie na de officiële Gmail-URL, en vervolgens een obfuscated string.
Het belangrijkste probleem dat helpt de aanvaller is dat het gebeurt dat Gmail kan vragen u opnieuw aan te melden op uw account op keer, en dat de werkelijke Gmail-adres in de adresbalk.
Als je gewoon kijkt maar, ziet u mogelijk https:// accounts.google.com/ is, en denkt dat alles in orde is.
U moet opslaan als u de fundamentele regels als het gaat om phishing, als één van hen is, dat moet u controleren of het adres van de pagina ten alle tijden voordat je iets op.
In het kort, als de URL niet begint met https:// het is zeker nep, althans in het geval van Gmail en een moderne service die ondersteunt https://.
Ik kan zien hoe zelfs ervaren gebruikers vallen voor die val hoewel, gezien het feit dat de e-mails afkomstig zijn van een legitieme contact en niet een nep-adres.
Het kan ook eenvoudig genoeg om te kijken uit het feit dat de bijgevoegde PDF is een ingesloten afbeelding in plaats daarvan. U merkt dat er iets mis is wanneer de bijlage brengt u naar een andere pagina.
De aanvallers proberen hun best om te verbergen dat feit, als ze gebruik maken van de titel van de pagina “u bent afgemeld”, die gebruikers kunnen zich richten op in plaats van de werkelijke webadres ze op.
Een ander ding dat moet laat het alarm bells ring is dat de pagina die zich opent, vraagt de gebruiker e-mail adres en wachtwoord. Google meestal niet wanneer dat gebeurt.
Accounts met twee-factor authenticatie zijn beter beschermd tegen deze phishing-aanvallen. Het is echter mogelijk voor aanvallers om het verzoek van de twee-factor authenticatie code van de gebruiker en als ze een aanval op de account in real-time.
Google lijkt te overwegen het toevoegen van een “niet veilig” tag data: en blob: elementen in de adresbalk, maar niets is nog in steen.
Data is niet geheel nieuw als het gaat om phishing. We gerapporteerd over de gegevens die worden gebruikt voor phishing-aanvallen terug in 2014, en dat is waarschijnlijk niet de eerste keer werd gebruikt.
De aanvallers het gemunt op Gmail op dit moment, maar niets is hen tegenhoudt om te verhuizen naar een andere e-mail provider.
Nu U: Zou u gevallen voor de aanval?