Сайт My Online Security сообщил об изобретательной фишинговой кампании против пользователей браузера Chrome. Она комбинировала укорачиватель ссылок goo.gl и скрытый в URL скрипт, чтобы получить поддельную страницу входа в учётную запись Google. Результат получался почти неотличимым от оригинала и мог обмануть даже внимательного пользователя.
Фишеры рассылали жертвам спам со ссылкой, пропущенный через принадлежащий Google укорачиватель goo.gl. Если нажать на неё, в браузере открывалась страница, предлагающая войти в учётную запись Google. Она выглядела в точности так же, как настоящая, и даже домен в адресной строке был совершенно верным — accounts.google.com.
В действительности укороченная ссылка вела не на Google, а на принадлежащий злоумышленникам сайт nwfacilities.top. Жертва, впрочем, на нём не задерживалась. Фишинговая страница тут же перенаправляла браузер на адрес в домене accounts.google.com с прибавленной строчкой «data:text/html».
«data:» — это стандартная, хотя и не очень распространённая схема URI, которая позволяет включать данные для отображения прямо в адрес ресурса. Её понимают все популярные браузеры, кроме Internet Explorer, поддерживающего этот стандарт лишь частично.
После редиректа в браузере действительно открывалась страница с домена Google, но тут срабатывал включённый в URL скрипт злоумышленников. Он подменял содержимое гугловского HTML большим iframe, занимающим всё окно браузера. В iframe загружалась другая страница с nwfacilities.top, копирующая внешний вид формы для ввода логина и пароля, но отправляющая их не Google, а злоумышленникам.
Интересно, что в полной мере этот трюк срабатывает только в Google Chrome. Браузер Microsoft спотыкался на незнакомой схеме и уведомлял пользователя, что для просмотра такой страницы нужна другая программа. Это видимо, тот редкий случай, когда отсталость Internet Explorer оказывается полезна.
Когда My Online Security вывел фишеров на чистую воду, Google оперативно заблокировал укороченную ссылку. Правда, ничто не мешает злоумышленникам создать новую и продолжить сбор паролей. Поэтому лучше проявлять бдительность: теперь даже правильный URL не гарантирует, что всё в порядке.