安全路透社
当前位置:安全路透社 > 网络转载 > 正文

一种极为高效的钓鱼技术,骗取Gmail用户账户

经常关注我们 Wordfence 的用户会发现,我们网站会不定时的,发布一些关于 WordPress 之外的安全问题警报。这些警报大多都是,我们认为非常紧迫,急需解决的一些安全问题。在这篇文章中,我们将向广大的客户及读者用户,发出一项新的威胁告警。一种更加隐蔽有效的网络钓鱼技术,正试图骗取 Gmail 用户账户信息。它不仅针对那些普通用户,那些经验丰富的高级用户,也受到了不同程度的影响!

为了让大家尽可能的阅读和理解这篇文章的内容,我对文章中的一些技术细节,做了细微的处理和简化。希望大家在阅读完该文后,能保护自己免受这种网络钓鱼攻击,避免给自己带来不必要的损失和麻烦。

钓鱼攻击:你所需要知道的

一项针对 Gmail 和其他服务的新型网络钓鱼技术,在过去的一年里,正受到越来越多攻击者的青睐。在过去的几个星期里,有媒体报道称,该网新型络钓鱼技术,不仅针对那些普通用户,即使是那些有着丰富经验的网络技术人员,也难于幸免!

此类攻击的目标不仅仅是 Gmail 用户,它还包括一些其他服务。

攻击的实施过程,依旧是老套路。攻击者首先会向你的 Gmail 帐户发送电子邮件。该邮件的发信人,可能是你某个熟悉的人。黑客可能利用了同样的钓鱼技术,窃取了你熟人的邮箱,并以此来冒充。也可能是一封包含了图片附件的邮件,而这张图片可能是你认识的某个熟人的照片。

当你点击图片准备预览时,它会打开一个新的标签页。此时,Gmail 会提示你重新登录。你可以查看地址栏的 URL 信息,你会看到一个几乎一模一样的 Google 账户登录网址:accounts.google.com。如下图:

dataURI.png

接着,你会看到一个 Gmail 的完整用户登录界面,如下:

gmail-data-URI-sign-in-page.png

完成登录后,你的帐户也就意味着已经被攻击者,成功盗用!Hacker News 的评论者,详细地描述了他们在无意点击该钓鱼页面后,所发生的一切:

“攻击者在获取登录凭据后,会立即登录你的帐户。并冒用你的名义,向你联系人列表中的好友,群发钓鱼邮件。

例如,他们进入一个学生的帐户,截取一张运动队练习时间表,并以附件和对应主题的形式,通过电子邮件发送给运动队的其他成员。“

通常,在成功获取到你的登录凭据后,攻击者都会在很短的时间内登录到你的账户。他们可能是利用某些程序,来自动批量登录。也可能是通过一个专业的账户处理团队,来完成。

一旦攻击者成功登陆到你的账户,他们就自动获取到了你所有邮件的访问接收及发放权限。攻击者还会利用密码重置机制,来修改你使用该邮箱绑定的其他一些服务密码。

以上我描述的是,用于窃取Gmail上的用户名和密码的网络钓鱼攻击,它的成功率非常高。然而,这种技术不仅限于钓取 Gmail 账户信息,它还可以用于从许多其他平台窃取凭证,在基本技术实现上,它的变化非常多样化。

如何保护自己,免受这种网络钓鱼攻击

总有人会告诉你说:“想要避免进入一个钓鱼网站,你需要仔细的检查地址栏的 URL 地址,是否为正确的网站的地址,以确保账户信息的安全。”

在上述攻击中,你完成了上述操作,并在地址栏中看到了正确的 URL 地址“accounts.google.com”,因此你会放松你的警惕并点击登录。

dataURI1.png

为了更好的避免遭受到这类钓鱼攻击,你可能需要改变你的检查策略。例如这类钓鱼技术,使用一种被称为“数据URI”的东西,它会在你的浏览器地址栏包含一个完整的文件,类似 ‘data:text / html … ..’,看起来如下图那样:

gmail-phishing-data-uri-showing-script.png

从我红色箭头指向的地方开始,我们可以看到有一段非常长的文本块。这实际上是一个在新标签页中打开的文件,用于创建一个完整功能的假 Gmail 登录页面,并接收用户的输入内容发送给攻击者。

正如你所看到的,在地址栏的最左边你看到的是以“data:text / html”开头的 URL ,而紧随其后的则是正常的“https://accounts.google.com…”网址。此时,如果你稍不注意,就会忽略开头的这段 ‘data:text / html’ ,并误以为该 URL 是合法的网站地址。

如何保护自己

当你登录任何服务时,务必检查浏览器地址栏并验证协议及主机名是否匹配正确。在登录 Gmail 或 Google 时,在 Chrome 浏览器中应该显示如下:

GMail-phishing-secure-accounts.google.com-data-uri.png

请确保主机名“accounts.google.com”(“https://”除外)和锁定符号之前,没有任何内容。你还应特别注意,左侧的绿色标识部分。如果你无法验证地址栏的协议及主机名,那么请马上停止你的操作,并仔细回想下刚刚你点击了什么。

如果你使用的那些服务都支持双因素身份认证,那么请务必开启双因素身份认证。在 Gmail 下被称为“两步验证“,你可以在此页面上了解如何启用它

启用双因素身份验证,将会大大增加攻击者登录你账户的难度,即使他们已经窃取了你的账户密码,也不一定能成功登录你的账户。值得注意的是,我看到一些关于双因素身份验证的讨论,认为即使启用了双因素身份验证,也将无法避免此类攻击。但我没有看到一个概念的证明,所以我不能证实这一点。

为什么 Google 解决不了这个问题,以及他们应该做什么

Google 对用户的问题做了以下回应

“地址栏仍然是浏览器的几个可信 UI 组件之一,并且也是唯一一个可被信赖的,用于判断当前用户访问来源可靠性的依据。如果用户仔细查看地址栏的内容,那么钓鱼和欺骗攻击,显然是微不足道的。但不幸的是,这是网络的工作原理,任何修复都是基于检测它们的外观来进行的,但想绕过这种检测却很容易,有上百种方式可以选择。数据:URL 部分在这里没有那么重要,因为你可以在任何 http [s] 页面上进行钓鱼欺骗。”

但是我并不认同 Google 的这个答复,有以下几个原因:

Google 已经修改了地址栏的行为,当用户打开的网页使用的是 HTTPS 协议和拥有锁定图标时,将会以绿颜色标识协议,以表示当前用户访问的为安全合法网站。

GMail-phishing-secure-accounts.google.com-data-uri2.png

当页面不安全时,他们则会使用不同的方式显示协议,并用一条斜线将其标记为红色:

phishing-chrome-certificate-warning.png

而在这次攻击中,用户既看不到绿色,也看不到红色。 他们看到的只是黑色文本:

dataURI3.png

这就是为什么,这种攻击能如此有效的最好说明。在用户界面设计和人类感知中,通过统一的视觉特性连接的元素,被感知为比不相连的元素更相关。

这就是为什么这种攻击是如此有效。 在用户界面设计和人类感知中,通过统一的视觉特性连接的元素被感知为比不相连的元素更相关。 [阅读更多:Gestalt 人类感知原则 和“统一连接”内容盲点]

因此,当 ‘data:text / html’ 和可信主机名颜色相同时,我们的感觉就是它们是相关的,这和 ‘data:text / html’ 部分是否多余,已经没有多大的关系了。

在这种情况下,Google 需要改变浏览器中显示的“data:text / html”的方式。可以采取一些不同颜色和图标来标识它们, 这将起到一个视觉感知上的差异,并提醒用户仔细检查 URL 地址栏,更好的保护用户的权益。

如何检查你的帐户是否已遭到入侵

目前没有特别好的办法,来检查你的账户是否已经遭到非法入侵。如果你怀疑你的账户已经被其他人盗用,那么你可以立即更换你的密码。最好能保持每隔一段时间,就更换一次密码的习惯。

如果你使用的是 Gmail,你可以通过检查你的登录活动,来了解是否有其他人正登录和使用你的帐户。有关信息,请访问 https://support.google.com/mail/answer/45938?hl=zh_CN 。要使用此功能,请滚动到收件箱底部,然后点击“详细信息”(在屏幕的右下角)。这将显示你账户,当前所有的会话活动以及你最近的登录历史记录。如果你发现有未知来源的的登录活动,你可以强制关闭他们。如果你发现,你在一些自己不知道的地点登录过,则表示你的账户可能已经被黑客盗用。

在这里我向大家推荐一个,可以用来检查你的电子邮件帐户是否泄漏的网站 https://haveibeenpwned.com/ 。这个网站是由著名的安全研究员,Troy Hunt 创办的。使用起来也非常的简单,只需输入你的电子邮件地址即可。

总结

在打开一个网站后,一定要仔细的检查该页面的 URL 地址,看看是否多了一些不该有的内容,或被浏览器标红警告。除此之外,我建议大家在进入一些关键性网站时,最好采用手动输入的方式,或通过搜索引擎查找有绿色官方验证标识的网站。同时,对一些重要的账户密码,进行定期的密码更换。希望通过我的简单介绍,能提高大家的安全防范意识,避免遭遇类似的网络钓鱼攻击!

*参考来源 wordfence,FB小编 secist 编译

未经允许不得转载:安全路透社 » 一种极为高效的钓鱼技术,骗取Gmail用户账户

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册