Pull to refresh

Фишинг с использованием данных из VK/Facebook

Reading time 1 min
Views 51K
Буквально вчера опубликовали пост о фишинге в Gmail и в одном из комментариев @Chickey написал


Да я и сам с таким сталкивался:




Собственно первое, что я подумал, неужели API VK просто дописывает через JS свои блоки? Из этого блока вытаскиваются нужные данные и подставляются в форму фишинга? Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК?.. Бред (хотя, первое, что я подумал, неужели мой аккаунт увели?).

Сразу же проинспектировал подобные элементы, посмотрел, там кроссдоменный iframe. Через JS мы не можем получить данные фрейма, так как столкнемся с Same Origin Policy.

Пока размышлял, решил загрузить фишинговую страничку через ctrl + shift + N и в итоге получил не свою страничку, а кривую-косую форму авторизации в ВК. Значит, фишинг-страничка при помощи CSS просто рисует поверх свои блоки, которые частично перекрывают виджеты/формы авторизации ВКонтакте.

За несколько минут криво-косо накидал PoC фишинга:



Должно выглядеть примерно так:

ВКонтакте


Facebook

Собственно, что и требовалось доказать.
Так что не переживайте, если увидите данные своих аккаунтов на каком-нибудь баннере. Никакого доступа без Вашего разрешения к данным аккаунта нет, все это лишь CSS-трюк. Это не баг, это фича ©
Tags:
Hubs:
+43
Comments 44
Comments Comments 44

Articles