Pull to refresh

Качественный фишинг в Gmail

Information Security
Доброе утро!
Проверяя сегодня свой почтовый гугл аккаунт, наткнулся на письмо, сообщающее о прекращении, предоставляемых мне, услуг.
Естественно меня сперва это возмутило, так как сразу вспомнилась статья о заблокированом пользователе facebook, которому не объяснили причину блокировки.

Чуть погодя, я решил все таки разобрать ситуацию, ведь вряд ли корпорация добра стала внезапно таким заниматься.

Заголовок письма был весьма нестандартным для обычных фишинговых аттак: [Ticket#2013474861215790] Прекращение предоставления услуг — ______@gmail.com.
Далее я решил проверить почтовый адрес отправителя, ожидая увидеть там что-то наподобие ad352klwehoi@mail.com, но все оказалось еще интереснее. Почтовый адрес выглядел вот так, интересно что был даже гугл+ аккаунт plus.google.com/106499313174296424036/posts


Стало интересно как же дальше будут развиваться события. Адрес ссылки с предложением опровергнуть жалобу имел вид f205.in/r9.php?email=vasya.pupkin, делая логический вывод ясно, что атака направлена только на пользователей Gmail.
Пройдя по ссылке, успешно редиректимся на фейковую страничку подтверждения пароля. И тут оказывается, что в адресной строке все тоже очень неплохо msg-google.com/, которая сама по себе редиректит на mail.ru/


После ввода пароля и его подтверждения успешно отправляемся непосредственно accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2

А злоумышленнику уходят Ваши логин и пароль от почты.

Form Data
continue:https://accounts.google.com/b/0/UpdateAccountRecoveryOptions?hl=ru&service=mail
dsh:4942838251703901422
btmpl:va
GALX:Y0tsepwqG00
pstMsg:1
dnConn:
checkConnection:youtube:63:1
checkedDomains:youtube
timeStmp:
secTok:
Login:vasya.pupkin@gmail.com
Password:qweasdzxc
signIn: Подтвердить
PersistentCookie:yes
rmShown:1


Спам фильтры не отсортировали это письмо и оно успешно попало, наверняка, многим пользователям. Так что будьте предельно осторожны с, вызывающими у вас сомнения, письмами.
Tags:gmailфишинг
Hubs: Information Security
Rating +117
Views 99.7k Add to bookmarks 75
Comments
Comments 114
Information Security Officer
to 275,000 ₽SmartTel PlusRemote job
Cyber Security Engineer[Security team]
from 4,000 to 5,500 $Coins.phRemote job
Application Security Engineer
from 3,300 €ExnessЛимассол
Senior Software Engineer [Security team]
from 5,000 to 6,500 $Coins.phRemote job

Top of the last 24 hours