Je ne comprends pas comment le compte Gmail de ma mère a été piraté

[~ # ~] important [~ # ~] : ceci est basé sur les données que j'ai obtenues de votre lien, mais le serveur peut implémenter une certaine protection. Par exemple, une fois qu'il a envoyé sa "balle d'argent" contre une victime, il peut répondre par un truqué "balle d'argent" à la même demande, afin que toute personne enquêtant soit induite en erreur. J'ai essayé d'envoyer un faux paramètre de cHVwcGFtZWxv pour voir s'il a déclenché un comportement différent, et ce n'est pas le cas. Pourtant, ce n'est pas une grande garantie.

[~ # ~] mise à jour [~ # ~] - ce qui précède tient toujours, mais j'ai fait des tests à partir d'adresses IP aléatoires non traçables à mon principal session - le serveur attaquant ne fait pas de discrimination et répondra allègrement à une requête indépendamment du navigateur, du référent et de la prise en charge JS/Flash/Java.

Le lien que vous avez reçu contenait, déjà intégré dans l'URL, les paramètres suivants - je les ai légèrement modifiés pour que le bon formulaire n'apparaisse pas dans les recherches Google de Stack Exchange (j'ai échangé les premières lettres).

[email protected]
[email protected]

Le lien injecte un Javascript qui récupère tout d'abord votre position via un appel API Geotrack, puis charge un autre script. ( J'avais initialement confondu cela avec une commande GMail; ma mauvaise).

Le deuxième script charge une page Web, mais aussi présente plusieurs répliques de pages de connexion de comptes populaires (Hotmail, GMail et ainsi de suite) en fonction de l'e-mail entrant: les comptes GMail obtiennent une fausse page GMail, et ainsi de suite, toutes ces pages indiquant ce qui équivaut à "Oooh, la session a expiré! Pourriez-vous vous reconnecter?".

Par exemple, cliquer ici ( ne le fait pas lorsque vous êtes connecté à GMail, juste au cas où)

hxxp://23.88.82.8/d/[email protected]&jq=SVQ7RmxvcmVuY2U=

affichera une fausse connexion au compte Google (pour un utilisateur inexistant "puppa").

Les vraies pages de connexion proviennent de

http://ww168.scvctlogin.com/login.srf?w...
http://ww837.https2-fb757a431bea02d1bef1fd12d814248dsessiongo4182-en.msgsecure128.com

qui sont des domaines de tir et d'oubli.

Le serveur qui reçoit les noms d'utilisateurs et les mots de passe volés est apparemment toujours le même, une machine ShineServers au 31.204.154.125, un petit castor occupé . La plupart de ces URL ont été soumises à divers services et ont été vues dès janvier.

Phishing et authentification à deux facteurs

Je suis de deux avis sur l'utilité de TFA dans le scénario ceci. Comme je le vois, et je peux très bien me tromper ou négliger quelque chose,

• la victime clique sur le lien
• obtient "déconnecté" et invité à "se reconnecter" par un écran de phishing
• saisit [nom d'utilisateur et] mot de passe
• l'attaquant tente de se connecter et est redirigé vers "Enter Secure Code"
• un code sécurisé est envoyé à la victime
• l'attaquant envoie à la victime un écran "Enter Secure Code"
• (la plupart?) les victimes saisissent également un code sécurisé
• le compte de la victime est compromis

Que faire

• Consultez l'URL qui apparaît dans la barre d'adresse. Vérifiez les certificats SSL.
• Ne vous connectez jamais à n'importe quoi sauf s'il provient d'un signet ou d'un lien tapé manuellement, en faisant attention aux fautes d'orthographe courantes. Si un écran de connexion apparaît pendant la navigation, fermez simplement le navigateur et rouvrez-le.
• Prenez l'habitude paranoïaque de toujours insérer d'abord un mauvais mot de passe, un que vous n'utiliserez jamais, puis le bon sur l'écran "Échec de la connexion". Si le mauvais mot de passe est accepté ... (bien sûr, l'attaquant pourrait toujours répondre FAUX! À la première tentative. Il doit équilibrer le coût de l'effarouchement de certaines victimes et le potentiel d'avantages d'en capturer d'autres. Tant que le nombre de deux tentatives est négligeable, deux tentatives est une stratégie gagnante pour eux. Si tout le monde le fait, cela ne fonctionnera pas).
• Il existe des services, tels que OpenDNS, comme indiqué par @Subin, ou intégrés dans le navigateur lui-même, qui vérifient le site entrant par rapport à une liste distribuée et refusent de se connecter à un connu site de phishing.

Que pourrait faire un développeur

Peut-être, juste peut-être, qu'il serait possible de développer une application "Cette page ressemble à cette autre page". Ce serait probablement terriblement lourd pour le système. Dans sa forme la plus basique et la plus contrariable, si le code HTML contient 'Entrez le mot de passe Google' et que l'URL est pas gmail, alors un grand une bannière rouge sang apparaît JUSTE PAS.

Une autre possibilité (encore une fois contrariable) consiste à utiliser une approche honey-token et à refuser les soumissions de formulaires contenant un mot de passe.

Que pourrait faire Google

C'est un peu ma bête noire. L'écran de phishing utilise des données sur les serveurs Google, pour l'amour de Pete, afin que ces serveurs voient clairement un logo de connexion demandé par votre maman avec un référent de phishers'r'us dot com . Que font ces serveurs? Ils servent allègrement le logo tel quel! Si [~ # ~] i [~ # ~] devait gérer un tel serveur, une demande pour votre image d'avatar (ou n'importe quelle image) à partir de n'importe quelle page pas sur mon site aurait, oui, en effet une image. Je n'aurais probablement pas de soucis sans fin pour l'image que je choisirais. Mais il serait très peu probable que quelqu'un entre volontairement son mot de passe sur un tel écran.

Bien sûr, les attaquants refléteraient simplement les images sur leurs sites Web. Mais je peux penser à beaucoup d'autres astuces. Par exemple, si un navigateur sur 1.2.3.4 m'a demandé un avatar de connexion, je pourrais me méfier d'une confirmation de mot de passe provenant de l'adresse 9.8.7.6 quelques secondes plus tard, surtout si d'autres mots de passe pour d'autres comptes était venu dans des circonstances similaires de la même adresse au cours des dernières minutes.

Une torsion : comme suggéré par un commentateur (que je dois encore remercier pour la perspicacité), Google a en fait la surveillance des demandes entrantes ainsi que les messages affichés par GMail. Avec un peu d'analyse des données, il peut alors connaître avec certitude les sites de phishing presque en temps réel, et les sites de mise en miroir des hameçonneurs ne contrecarrent pas beaucoup ce type d'analyse (il est principalement basé sur les données recueillies auprès de la victime). Ensuite, Google peut fournir les adresses des sites connus à une extension de navigateur (par exemple Chrome)).

Je pense toujours qu'ils pourraient faire les deux - défendre l'écran de connexion et utiliser l'exploration de données pour savoir qui sont les hameçonneurs - mais j'accepte que je ne suis pas justifié de dire que Google fait réellement rien.

Astuces plus compliquées

De plus, je pourrais compliquer l'écran de connexion avec des défis/réponses invisibles pour l'utilisateur auxquels l'attaquant devrait correspondre, et basés sur les empreintes digitales du navigateur. Vous voulez vous connecter, vous envoyez le mot de passe à partir du même écran de connexion qui vous a demandé. Cela aussi peut être contrecarré, assez facilement.

Mais avoir à faire vingt choses faciles pour compromettre un compte c'est difficile. Aussi parce que si vous faites dix-sept à droite, je (le serveur) marque votre adresse, et je vous redirige peut-être vers un faux compte sandbox si vous réussissez à vous connecter dans les prochaines heures. Et puis je regarde juste ce que tu fais. Vous faites peu, je réplique sur le vrai compte et si vous êtes honnête, vous ne saurez même jamais. Plus de X e-mails trop similaires, ou envoyés trop rapidement, et je le saurai. Bien sûr, le compte restera ouvert et acceptera allègrement tous vos spams. Pourquoi pas. Envoyer ça? Eh bien ... c'est une autre affaire, maintenant, n'est-ce pas?