Сайт My Online Security сообщил об изобретательной фишинговой кампании против пользователей браузера Chrome. Она комбинировала укорачиватель ссылок goo.gl и скрытый в URL скрипт, чтобы получить поддельную страницу входа в учётную запись Google. Результат получался почти неотличимым от оригинала и мог обмануть даже внимательного пользователя.

Фишеры рассылали жертвам спам со ссылкой, пропущенный через принадлежащий Google укорачиватель goo.gl. Если нажать на неё, в браузере открывалась страница, предлагающая войти в учётную запись Google. Она выглядела в точности так же, как настоящая, и даже домен в адресной строке был совершенно верным — accounts.google.com.

В действительности укороченная ссылка вела не на Google, а на принадлежащий злоумышленникам сайт nwfacilities.top. Жертва, впрочем, на нём не задерживалась. Фишинговая страница тут же перенаправляла браузер на адрес в домене accounts.google.com с прибавленной строчкой «data:text/html».

phishing-trick-targeting-google-relies-on-data-uris-to-mask-the-page-s-real-url-505839-3

«data:» — это стандартная, хотя и не очень распространённая схема URI, которая позволяет включать данные для отображения прямо в адрес ресурса. Её понимают все популярные браузеры, кроме Internet Explorer, поддерживающего этот стандарт лишь частично.

После редиректа в браузере действительно открывалась страница с домена Google, но тут срабатывал включённый в URL скрипт злоумышленников. Он подменял содержимое гугловского HTML большим iframe, занимающим всё окно браузера. В iframe загружалась другая страница с nwfacilities.top, копирующая внешний вид формы для ввода логина и пароля, но отправляющая их не Google, а злоумышленникам.

Интересно, что в полной мере этот трюк срабатывает только в Google Chrome. Браузер Microsoft спотыкался на незнакомой схеме и уведомлял пользователя, что для просмотра такой страницы нужна другая программа. Это видимо, тот редкий случай, когда отсталость Internet Explorer оказывается полезна.

Когда My Online Security вывел фишеров на чистую воду, Google оперативно заблокировал укороченную ссылку. Правда, ничто не мешает злоумышленникам создать новую и продолжить сбор паролей. Поэтому лучше проявлять бдительность: теперь даже правильный URL не гарантирует, что всё в порядке.



3 комментария

  1. A.T.

    02.07.2016 at 15:30

    не осталось IE, а выполнение только реальных и наиболее распространенных форматов

    IE является браузером-стандартом для всех госконтор в США, а это очень стабильный, неповоротливый на новшества сектор, где все выверено, просто и работает

    Chrome это браузер для выпендрежников, кому все самое новое и вау-эффектное, для дебилов, думающих только об эмоциях и новшествах

    О том, что новшества уже не нужны, у них тормозов нет.

    • tim.tim

      03.07.2016 at 09:34

      Прозвучало примерно как : «Ей ребята, а давайте засунем в жопу все инновации и оставим только стабильно-работающее хоть и стременное ПО».

      Хромом не пользуюсь, но никогда не слышал чтобы так выгораживали IE, тот факт что он из-за своей неприспособленности к текущим технологиям «не ловится» на свежие проблемы безопасности не делает его хорошим продуктом.

      Ну и хотелось бы понять, кому же всё-таки не нужны новшества ?

    • Dark Hole

      03.08.2016 at 23:23

      Я с вами частично согласен, главным образом в том, что Chrome уже очень «выпендривается» с новыми API. Уже давно известно, что коду из веба нельзя доверять, тем более создавать некое File API к примеру.

      Но в остальном вы несете бред.
      В IE ненамного меньше багов, да и все они известны, а обновить браузер — головная боль.

      Насчет новшеств… окей, сидите с текстового браузера без «выкрутас». Или вообще пишите на ассемблере. Можно еще в каменный век отправится.

Оставить мнение