Uporabniki težko prepoznajo spletno prevaro, ki zadnjih nekaj mesecev cilja na uporabnike spletne pošte, predvsem Gmaila. Goljufi so se namreč domislili odličnega načina pridobitve uporabniških gesel. Po opozorilih strokovnjakov Wordfence lahko nasedejo celo izkušeni uporabniki.

In kako deluje? Napadalec z znanega naslova pošlje pošto s pdf-dokumentom v priponki potencialni žrtvi. Na prvi pogled je vse videti popolnoma nenevarno. A priponka je v resnici vgrajena fotografija, prirejena, da je videti kot pdf. Uporabnika ob kliku nanjo namesto na predogled odpelje na lažno stran za prijavo v račun Google.

Takrat pa prevara postane resnično zahrbtna. Vse je videti pristno tako kot na pravi spletni strani: Googlov logotip in prijavno okno z uporabniškim imenom in geslom. Vse, razen ene izjeme: spletnega naslova. Še vedno vsebuje "https://accounts.google.com", vendar se nadaljuje z "data:text/html". Goljufi s pridobitvijo podatkov dobijo dostop do vseh preteklih e-pošt in naslovov ter veselo nadaljujejo napade.

Podoben napad lani na komitente slovenske banke

Na nacionalnem odzivnem centru za obravnavo incidentov s področja varnosti elektronskih omrežij SI-CERT za zdaj niso prejeli prijav slovenskih uporabnikov o Google fišing napadu, ki izrablja tovrstno tehniko. Tehnično pa so že seznanjeni s tovrstnim napadom, saj je bil praktično identičen lani usmerjen v slovensko banko. Takrat so prvič opazili, da se je v podtaknjeni povezavi po preusmeritvah uporabil “inline” način podajanja spletne vsebine v naslovu URL.

Nekateri komitenti Abanke so takrat dobili fišing sporočilo. Oblikovano je bilo kot HTML-besedilo, kjer se za prikaz povezave uporabi naslov legitimne strani, a ni bil pomemben, saj je bil drug dejanski cilj povezave. V konkretnem primeru je šlo za naslov na Twitterjevem okrajševalniku naslovov.

Zaglavje sporočila pa je pokazalo, da je bil za razpošiljanje uporabljen “botnet”, omrežje zlorabljenih računalnikov na različnih koncih sveta. Storilci se tako uspešno skrijejo, tovrstno storitev pa pogosto tudi najamejo na črnem trgu pri tistih, ki imajo takšne botnete pod nadzorom. Če je naslovnik kliknil na povezavo, se je kontaktiral okrajševalnik, ki je sporočil, da se spletna stran nahaja na drugem naslovu:

HTTP/1.1 301 Moved Permanently
cache-control: private,max-age=300
content-length: 0
date: Sat, 09 Apr 2016 09:44:14 GMT
expires: Sat, 09 Apr 2016 09:49:14 GMT
location: http://www.villesdefrance.fr/videos
server: tsa_b
set-cookie: muc=8a5a3faa-247b-4e21-bea1-3419125c4340; Expires=Thu, 22 Mar 2018 09:44:14 GMT; Domain=t.co
strict-transport-security: max-age=0
x-connection-hash: 765b5461b4868464d239bbfcbafdede4
x-response-time: 18

Ciljna stran je nato znova opravila preusmeritev, vendar tokrat na “inline” vsebino, zakodirano v povezavi. Uporabnik se je znašel na zavajajoči spletni strani, ki ni vodila na stran Abanke.

Kako se zavarovati?

Do zdaj so storilci uporabljali podobne domene ali poddomene za namen zavajanja, kar s prikazovanjem “inline” strani ni več potrebno. Na SI-CERT svetujejo uporabnikom, naj preverijo spletni naslov v brskalniku, da se prepričajo, da res uporabljajo storitve banke in ne fišing strani. V Google Chrome pred tipkanjem gesla preverite, ali je v naslovu zelen simbol za zaklepanje. Ker znajo hekerji tudi narediti zelen simbol, je treba preveriti celoten spletni naslov.

Če prejmete sporočilo, za katerega sumite, da je fišing napad, ga posredujte na SI-CERT po e-pošti cert@cert.si. Vpletene povezave bodo lahko sporočili na blokirne sezname brskalnikov, skušali čim prej odstraniti spletne strani na tujih strežnikih in tako zmanjšali nevarnost za uporabnike.