Хотя о потенциальной опасности писем, полученных из непроверенных источников, в наше время известно всем, фишинг по-прежнему остается одной из излюбленных методик хакеров. Но прогресс не стоит на месте, и злоумышленники изобретают все новые и новые способы обведения пользователей вокруг пальца.
На этот раз эксперты обратили внимание на новую фишинговую кампанию, направленную против пользователей Gmail. Письма содержат настолько хорошо завуалированные вредоносные ссылки, что даже продвинутые пользователи часто не замечают подвоха и вводят свои учетные данные на фишинговом аналоге Gmail. Как только жертва скомпрометирована, злоумышленники немедленно перехватывают доступ над ее аккаунтом и атакуют все контакты пострадавшего.
Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением, пользователь инициирует переадресацию на фишинговую страницу.
Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google. На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.
Данный метод атак известен экспертам уже несколько месяцев, но лишь недавно злоумышленники стали захватывать скомпрометированные аккаунты практически моментально. Пока не совсем ясно, автоматизирован этот процесс, или преступники просто очень оперативно реагируют на получение новых учетных данных.Похоже, атакующие действуют вручную, так как в одном случае школьный системный администратор рассказал, что хакеры взяли за основу фишинговых посланий легитимные письма из почтового ящика жертвы.
Подробный анализ данной схемы атак был опубликован Марком Маундером (Mark Maunder), главой и основателем компании Wordfence. Он предупреждает, что данная техника имеет очень большой процент поражения целей. Эксперт рекомендует включать двухфакторную аутентификацию и сохранять бдительность, внимательно проверяя URL в адресной строке.