不明白我妈妈的 Gmail 帐户是如何被黑的

信息安全 电子邮件 铬合金 网络钓鱼 smtp
2021-08-10 22:47:34

我妈妈(在 Gmail 上,使用 Chrome)收到了一封来自朋友 Hotmail 地址的电子邮件。她打开了这封电子邮件(很明显是一封钓鱼邮件)并点击了其中的一个链接。这打开了一个网页,上面有大量医疗广告。她关闭了页面并删除了电子邮件。

当她点击链接时,她没有注意到其他任何事情发生。例如,她没有看到下载开始,也没有点击打开的页面上的任何内容。

她点击的链接的 URI 是hxxp://23.88.82.34/d/?sururopo=duti&bugenugamaxo=aGViZTFzaGViZUBob3RtYWlsLmNvLnVr&id=anVuYWx4QGdvb2dsZW1haWwuY29t&dokofeyo=anVuYWx4[不要访问那个地址!]

立即(尽管她当时不知道)大约 75 封电子邮件从她的 Gmail 地址发送到她的一些联系人。它们在她的 Gmail 帐户的已发送邮件列表中可见。这发生在格林威治标准时间 17:08 到 17:10 之间。这里的一个来源:

Return-Path: <lalala@googlemail.com>
Received: from localhost (host86-152-149-189.range86-152.btcentralplus.com. [86.152.149.189])
        by mx.google.com with ESMTPSA id r1sm16019263wia.5.2014.02.23.09.10.15
        for <lalala@hotmail.com>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Sun, 23 Feb 2014 09:10:16 -0800 (PST)
Message-ID: <530a2b78.8108b40a.6eac.5c3d@mx.google.com>
Date: Sun, 23 Feb 2014 09:10:16 -0800 (PST)
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: lalala@googlemail.com
Return-Path: lalala@googlemail.com
Subject: Bar gain

<span style=3D"VISIBILITY:hidden;display:none">Mount your brooms said Madam=
 Hooch Three   two   one  =20
</span><br /><u>lalala@googlemail.com has sent you 3 offline broadcast</u><=
br /><a href=3D"hxxp://23.88.82.8/d/?ba=3Djurofaxovu&maremiditigehavuve=3Da=
nVuYWx4QGdvb2dsZW1haWwuY29t&id=3DaGVsZW5fY19odWdoZXNAaG90bWFpbC5jb20=3D&guv=
iwafaloco=3DaGVsZW5fY19odWdoZXM=3D" >Locate Full Email Content</a>

这是 Gmail“活动信息”窗口: 在此处输入图像描述

请注意,该列表中的 IP 地址 86.152.149.189 与该电子邮件的标头中的 IP 地址相同。

我妈妈的一位朋友报告说她收到了其中一封电子邮件并点击了其中的链接。她说她的电子邮件帐户随后也发送了大量电子邮件。

我不知道发生这种情况时我妈妈的 IP 地址是什么。所以可能是 86.152.149.189。

我不明白这是怎么发生的。她有一个令人印象深刻的密码(我现在已经更改了),她没有用于其他任何事情,而且她没有在打开的页面中输入这个密码。

单击电子邮件中的链接究竟如何允许攻击者以我妈妈的身份使用 Gmail SMTP 服务器验证自己的身份,然后以她的身份向她的联系人发送大量电子邮件?它怎么会得到她的联系人的地址?

在 Iserni 的回答之后更新

我妈妈确认,在医疗广告页面关闭后,当“Gmail”要求输入她的 Gmail 密码时,她确实输入了她的 Gmail 密码。她的阿姨收到了其中一封电子邮件,还被要求输入她的 Gmail 登录详细信息。她说她这样做是因为最初的电子邮件来自我妈妈。巧妙的攻击

3个回答

重要提示:这是基于我从您的链接获得的数据,但服务器可能会实施一些保护。例如,一旦它向受害者发送了“银弹”,它可能会用伪造的“银弹”回应相同的请求,这样任何调查的人都会误入歧途。我尝试发送一个假的cHVwcGFtZWxv参数来查看它是否触发了任何不同的行为,但它没有。不过,这并不是一个很好的保证。

更新- 以上仍然成立,但我一直在从无法追踪到我的主会话的随机 IP 进行测试 - 攻击服务器不会区分,并且无论浏览器、引用者和 JS/Flash/Java 是什么,都会愉快地回答查询支持。

您收到的链接包含已嵌入 URL 中的以下参数 - 我对它们稍作更改,因此正确的表单不会出现在 Stack Exchange 的 Google 搜索中(我交换了第一个字母)。

jebe1shebe@hotmail.co.uk
hunalx@googlemail.com

该链接会注入一个 Javascript,它首先通过 Geotrack API 调用检索您的位置,然后加载另一个脚本。我最初把它误认为是 GMail 命令;我的错)。

第二个脚本加载一个网页,但也根据收到的电子邮件显示流行帐户(Hotmail、GMail 等)的登录页面的几个副本:GMail 帐户得到一个假的 GMail 页面,等等,所有这些页面都说相当于“哦,会话已过期!您介意再次登录吗? ”。

例如,单击此处(登录 GMail 时要这样做,以防万一)

hxxp://23.88.82.8/d/?p=puppa@gmail.com&jq=SVQ7RmxvcmVuY2U=

将显示一个虚假的 Google 帐户登录(对于不存在的用户“puppa”)。

真正的登录页面来自 

http://ww168.scvctlogin.com/login.srf?w...
http://ww837.https2-fb757a431bea02d1bef1fd12d814248dsessiongo4182-en.msgsecure128.com

这是即发即弃的域。

接收被盗用户名和密码的服务器显然总是相同的,一台位于 31.204.154.125 上的 ShineServers 机器,一个忙碌的小海狸这些 URL 中的大多数已提交给各种服务,并且早在 1 月份就已被看到。

网络钓鱼和双重身份验证

我对 TFA 在这种情况下的用处有两种看法。在我看来,我很可能会弄错或忽略某些东西,

  • 受害者点击链接
  • 被网络钓鱼屏幕“断开”并提示“重新连接”
  • 输入 [用户名和] 密码
  • 攻击者尝试登录并被重定向到“输入安全代码”
  • 将安全代码发送给受害者
  • 攻击者向受害者发送“输入安全代码”屏幕
  • (大多数?)受害者也输入安全代码
  • 受害者账户被盗

可以做什么

  • 查看地址栏上显示的 URL。验证 SSL 证书。
  • 除非来自书签或手动输入的链接,否则切勿登录任何内容,注意常见的拼写错误。如果在导航过程中出现登录屏幕,只需关闭浏览器并重新打开即可。
  • 养成总是先输入错误密码的偏执习惯,一个您永远不会使用的密码,然后在“登录失败”屏幕上输入正确密码。如果错误的密码被接受了……(当然,攻击者可能总是在第一次尝试时回复 WRONG!。他必须在吓唬一些受害者的成本与捕获其他一些受害者的潜在利益之间取得平衡。只要两次尝试的人可以忽略不计,两次尝试对他们来说是一种成功的策略。如果每个人都这样做,那就行不通了)。
  • 有一些服务,例如 @Subin 指出的 OpenDNS,或者嵌入在浏览器本身中,可以根据分布式列表验证传入站点并拒绝连接到已知的网络钓鱼站点。

开发人员可以做什么

也许,只是也许,有可能开发一个“这个页面看起来像这个其他页面”的应用程序。可能它对系统来说会非常沉重。如果 HTML 代码包含“输入 Google 密码”并且 URL不是gmail,那么在其最基本和最容易受到阻碍的形式中,就会出现一个血红色的大横幅,上面写着 JUST DON'T

另一种(再次被阻止)的可能性是采用蜂蜜令牌方法并拒绝包含密码的表单提交。

谷歌能做什么

这是我的一个小烦恼。为了皮特的缘故,网络钓鱼屏幕使用 Google 服务器上的数据,以便这些服务器清楚地看到您妈妈请求的登录徽标,其引用者为 phishers'r'us dot com这些服务器是做什么的?他们愉快地按原样提供徽标!如果我要管理这样的服务器,从不在我网站上的任何页面请求您的头像图像(或任何图像) ,是的,确实会获得图像。对于我选择的图像,我可能会遇到无穷无尽的麻烦。但不太可能有人愿意在这样的屏幕上输入他/她的密码。

当然,攻击者只会在他们的网站上镜像图像。但我可以想到许多其他的技巧。例如,如果 1.2.3.4 上的浏览​​器要求我提供登录头像,我可能会警惕几秒钟后来自地址 9.8.7.6 的密码确认,特别是如果其他帐户的其他密码从最后几分钟的地址相同。

一个转折:正如评论者所建议的(我仍然要感谢他的洞察力),谷歌实际上对传入的请求以及 GMail 显示的消息进行了监督。通过一些数据分析,它可以几乎实时地确定网络钓鱼站点,并且网络钓鱼者镜像站点不会非常阻碍这种分析(它主要基于从受害者那里获得的数据)。然后 Google 可以将已知站点的地址提供给浏览器扩展(例如 Chrome 站点保护)。

我仍然认为他们可以两者兼得- 保护登录屏幕使用数据挖掘来找出钓鱼者是谁 - 但我会接受我没有理由说 Google 实际上什么都不做。

更复杂的技巧

此外,我可能会使登录屏幕复杂化,其中包含攻击者必须匹配的用户不可见的质询/响应,并且基于浏览器指纹识别。你想登录,你从提示你的同一个登录屏幕发送密码。这也很容易被挫败。

但是必须做 20 件简单的事情来破坏一个帐户是很困难的。还因为如果你做对了十七,我(服务器)会标记你的地址,如果你在接下来的几个小时内成功登录,可能会将你重定向到一个虚假的沙盒帐户。然后我就看看你做了什么。你做的很少,我在真实账户上复制,如果你诚实,你甚至永远不会知道。超过 X 封太相似的电子邮件,或者发送速度太快,我会知道的。当然,该帐户将保持打开状态并愉快地接受您的所有垃圾邮件。为什么不。吗?嗯……那是另一回事了,不是吗?

我有一个客户在你母亲收到后不久就以这种方式被黑客入侵(进入 Gmail 活动信息显示完全相同的英国 IP 地址)。

她在见到我前一个小时就被钓鱼了,所以在被提示后能够回忆起所有的步骤。

单击网络钓鱼链接后,她被带到一个充满广告的页面,其中打开了多个弹出窗口。她关闭了一个弹出窗口,以为自己“回到”了原来的位置,却被带到一个看起来像 Gmail 登录的窗口。

正是在这里输入了凭据,不久之后,该帐户被用来向她联系人列表中的每个人发送网络钓鱼电子邮件。

她的 Gmail 密码已被重置,但幸运的是使用短信验证能够使用旧密码重置为新密码。

好吧,这是我的猜测。

可能发生的事情是网页有一个影响浏览器的漏洞,它只是控制了浏览器本身,设法访问 GMail 会话并用于从那里发送电子邮件。

可能漏洞利用甚至没有破解密码。

其它你可能感兴趣的问题
上一篇移动运营商如何通过 HTTPS 连接了解视频分辨率? 下一篇Windows 10 如何让微软监视你?