14:26
22/11/2018

Firma Google aktywnie walczy z phishingiem, angażujac do tego także swoją technologie maszynowego uczenia się i wyświetlając ostrzeżenia. Niestety pozornie drobne błędy w działaniu interfejsu Gmaila mogą sprawić, że phishing stanie się odrobinę łatwiejszy.

Maile otrzymane wśród wysłanych

W ubiegłym tygodniu deweloper Tim Cotten opisał interesujący problem. Zgłosił się do niego pracownik, który przeszukiwał swoją skrzynkę z opcją “in:sent” i z przerażeniem odkrył e-maile, których sam nie wysyłał. Mogło się wydawać, że ktoś włamał się na pocztę tego pracownika by rozesłać e-maile, ale w rzeczywistości było inaczej. Te e-maile nie były wysłane tylko otrzymane!

Analiza nagłówków pokazała, że we wspomnianych e-mailach w polu From: umieszczono e-mail odbiorcy. Czyli tam gdzie zazwyczaj widzimy nazwisko (np. Jan Kowalski) znajdował się adres osoby, która e-maila miała otrzymać (np. odbiorca@odbiorca.com). Tak przygotowana wiadomość była widoczna w wiadomościach wysłanych. Najwyraźniej Gmail sortuje te wiadomości na podstawie tego co widzi

Mały problem?

Sprawdziliśmy to u siebie i rzeczywiście zadziałało, a problem był opisany przez Cottena 14 listopada. E-mail widoczny na zrzucie poniżej był e-mailem otrzymanym, nie wysłanym. Świadczy o tym nawet etykieta “odebrane”, na którą nie zawsze zwraca się uwagę.

Na pierwszy rzut oka nie wydaje się to dużym problemem, ale przecież pracownik, który zgłosił się do Tima Cottena był naprawdę zdezorientowany. Uwierzył, że e-maile zostały wysłane z jego skrzynki. Można więc wyobrazić sobie socjotechnikę polegającą na tym, że najpierw wysyłamy do ofiary e-mail z jakimś linkiem i ten mail będzie widoczny w “Wysłanych”. Później wmawiamy osobie, że mamy kontrolę nad jej skrzynką, bo potrafimy z niej wysyłać e-maile i niech sama to sprawdzi, że ma w wysłanych wiadomość, której treść znamy.

To oczywiście drobny problem, ale jest jeszcze coś…

Większy problem: brak informacji o nadawcy

17 listopada deweloper opisał błąd, który pozwala na całkowite ukrycie nadawcy e-maila w interfejsie Gmaila.

Po wykryciu problemu opisanego powyżej Cotten robił różne ekspewrymenty. Próbował wstawiać w pole From: najróżniejsze rzeczy, włącznie z tagami <object>, <script> albo <img>. Próba z tagiem <img> zakończyła się uzyskaniem ciekawego efektu.

 

Źródło obrazka: blog.cotten.io

E-mail na skrzynce odbiorcy nie miał żadnej informacji o nadawcy. Tej informacji  nie było też na liście e-maili w widoku skrzynki odbiorczej. Czy to poważny problem? Raczej tak, bo gdyby ktoś zobaczył taki e-mail…

…mógłby uwierzyć, że wiadomość jest jakimś powiadomieniem od samego dostawcy poczty. Gdyby ktoś kliknął “Odpowiedz” to również nie zobaczy nazwy nadawcy w charakterze odbiorcy odpowiedzi. To bardzo niebezpieczne.

Od razu mówimy, że analiza nagłówków wykazałaby oszustwo, ale nie każdy analizuje nagłówki i oszuści dobrze to wiedzą. W tym przypadku nawet osoba świadoma technologicznie mogłaby dać się nabrać.

Tim Cotten uzyskał efekt niewidocznego nadawcy umieszczając w polu  From: znacznik <img>. Zwróćcie uwagę na literówkę, która w niczym nie przeszkodziła.

Problem został zgłoszony do Google. Zwróciliśmy się do biura prasowego Google z dodatkowymi pytaniami, ale jak dotąc nie otrzymaliśmy odpowiedzi (i nie wiemy czy otrzymamy, bo to biuro prasowe odpowiada wybiórczo).

Boje się phishingu. Co robić? Jak żyć?

Już sam strach przed phishingiem jest czymś dobrym :), bo świadczy o swojego rodzaju świadomości problemu. Jednak wcale nie polecimy Ci dogłębnej analizy nagłówków albo nieodbiereania e-maili do czasu rozwiazania problemu. Po prostu nigdy nie klikaj w linki w e-mailach, które zachęcają Cię do zalogowania się na jakieś konto. Korzystaj też z logowania dwuskładnikowego tam gdzie to możliwe, lecz pamiętaj, że 2FA nie chroni przed phishingiem tylko nieco go utrudnia. Dopiero U2F robi robotę.

Warto też pamiętać, że nawet bezpieczny i sprawdzony dostawca poczty, aktywnie walczący z problemem phishingu (czyli taki jak Google), nie gwarantuje braku błędów ułatwiających phishing. W tym przypadku problem dotyczy interfejsu usługi, ale interfejs ma ogromny wpływ na to jak analizujemy informację, która jest nam wyświetlana. Mimo tego, poczta Google należy do najbezpieczniejszych i najlepiej przemyślanych pod kątem ochrony użytkownika. I jak najbardziej warto z niej korzystać.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. Ja mam do powiedzenia w tym temacie tylko tyle. Jak w poważnej firmie można korzystać z poczty przez stronę WWW?

    • Przecież każdy normalny człowiek korzysta z poczty przez stronę WWW. Czemu niby miałoby się zmuszać pracowników do instalowania programów pocztowych na ich prywatnych komputerach, z których przecież też maile się pisze? Ma to w ogóle jakieś zalety?
      Oczywiście, jeśli ktoś chce, to absolutnie powinien mieć dostęp przez IMAP. Chociażby dla jego własnej wygody. Ale akurat interface Gmaila jest bardzo wygodny, czego bym nie powiedział o takim na przykład Outlooku. Po prostu niech każdy wchodzi, jak lubi, i tak na jedno wychodzi.

    • W większości przypadków zawsze jest taka opcja, zwłaszcza przy pracownikach outsourcowanych pracujących na swoim sprzęcie – nie każdy musi mieć Outlooka lub potrafić skonfigurować wbudowaną aplikację poczty w Windzie (choć swoją drogą to banalne, ale “pani od pasjansa” to można tłumaczyć nawet 10 godzin i nic nie da) :/

    • Ja mam do powiedzenia tylko tyle: jak w 2018 roku można zadawać tak głupie pytania? Serio MegaMan – przeleżałeś pół wieku pod ziemią? I tu nie chodzi nawet o to, że przy kilkuletniej skrzynce np. OWA (żeby nie było że tylko o Google) działa kilka razy szybciej niż klient na stacji końcowej. Po prostu: czasy The Bat skończyły się w XX wieku. A argumenty o bezpieczeństwie to sobie daruj ;)

    • Też nie generalizujcie – Winda ma całkiem fajną w obsłudze tę standardową apkę do maili, poza tym bez apki lokalnej o powiadomieniach bez włączonej przeglądarki zapomnijcie :)

    • Zimbrę instalować, a nie mi tu narzekać…

    • Duża międzynarodowa korpo na literkę M.
      Ponad dwa tysiące pracowników w samej tylko Polsce.
      Dochód roczny liczony w miliardach $$.
      99.99% używa gmaila przez stronę WWW.
      Ten jeden promil używa ołtlóka.

    • @”Jendrzej”
      “Czy ma to w ogóle jakieś zalety?”

      To włącz, madralo, szyfrowanie PGP na poczcie przez przeglądarkę. Każdy myślący człowiek korzysta z czegoś w rodzaju K-9 Mail sparowanego z OpenPGP – szyfrowanie wiadomości i podpisów w zasadzie transparentne, poza banalnym, wstępnym ustawieniem i jednorazową wymianą kluczy.

      Tyle, że myślących ludzi jest mało – fakt, iż jakakolwiek poważna wymiana wiadomości (usługi medyczne, prawne, urzędowe, whatever) odbywa się w standardzie BEZ szyfrowania treści i podpisu przez PGP, to jeden z dowodów na skretynienie społeczeństwa (a raczej, brak od-kretynienia).

      No, ale – po co. Lepiej przez interfejsik, bo w karcie obok fejsik.

    • W OWA (tylko sparowanym z Exchange Serverem) jest w standardzie S/MIME. No ale to nie jest w takim wydaniu prawdziwy end to end :)
      Windowsowy klient poczty pokazuje opcje S/MIME, jeżeli zainstalowany jest prawidłowy i ważny certyfikat osobisty, do którego ma się klucz prywatny.

  2. 1. Czyli email oprócz bycia w wysłanych jest również w odebranych (wskazuje na to etykieta)? Czyli ktoś trochę bardziej rozgarnięty powinien zauważyć, że ‘wysyła do siebie wiadomości’, dziwi mnie więc zdziwienie przytoczonego użytkownika.
    2. .. ale czy takie maile trafią do spamu? Czy filtry nie zignorują wiadomości wysłanych przez nas samych?

  3. Proszę Biuro prasowe Google o nadzór na masową wysyłką przypadkowych reklam;które są niebezpieczne a pouczają ,że to nie jest spam a otrzymałam 2 falszywe przesyłki e-mailowe,no więc wysyłający reklamy w tym uczestniczą a powinni być świadomi na co narażają moje konto.Powinni ponosić określoną odpowiedzialność./ z moich kontaktow/ tylko celowo wtłaczają reklamy śmieci i nie poprzestają.Potem ślą polecenia o zagrożeniu bezpieczeństwa,i wymuszają działania,które sami natychmiast powinni podjąć.Proszę zweryfikować całokształt działań wysyłki e- maili,Za dużo reklam kupują i dręczą posiadaczy skrzynek pocztowych.Zrzuty przesyłek będę dokumentować do konsekwencji.

    • My Biuro prasowe Google potwierdzamy odczytanie Pani maila.

  4. Google ma taki feature, że maile od właściciela konta usuwa z odebranych, zostawia je tylko w wysłanych. Więc spoofing nadawcy maila też teoretycznie powinien robić robotę i jak widać, w tym przypadku robi.

  5. Literówka: ekspewrymenty

    • …i nie wiadomo, czy miało być ‘eksperymenty’ czy ‘ekskrementy’.

  6. Tak z ciekawości, w jaki sposób kontaktowaliście się z Google? Z doświadczenia w mojej pracy (szeroko pojęta księgowość i kontakt z klientem dla dużej firmy) wiem, że kiedy trzeba się z nimi skontaktować w jakiejkolwiek niestandardowej sprawie (dajmy na to brakujące dane na fakturze), jest to praktycznie niemożliwe. Nawet osoby, które zawierały z nimi kontrakty nie były w stanie podać żadnych sensownych danych kontaktowych. Jedyna możliwość to skorzystanie z formularza kontaktowego, z którego mi, co do zasady korzystać nie wolno :)

    • Mialem problem z blednymi danymi na fakturze, kontaktowalem sie z nimi na kilka sposobow, i z polskim oddzialem i z supportem w stanach, i nie udalo sie wyprostowac tematu, maja to w okreznicy..

    • Ja nie miałem problemów. Kiedyś nie wiedziałem kiedy dostanę fakturę za adresy bo był długi weekend. Napisałem w ich panelu i za godzinę zadzwoniła paniki mi wytłumaczyła poza tym są opiekunowie kont którzy dzwonią raz na jakiś czas i zostawiają do siebie kontakt

  7. Ostatnio przeglądałem spam i tam miałem maila od “samego siebie”, gdzie ktoś próbował mi wmówić, że zainfekował mi komputer i nic nie dadzą moje programy antywirusowe i jak wyśle mu bitcoina to się odczepi.
    No cóż, nie wysłałem :(

    Chyba jeszcze nie wywaliłem tego maila, to mogę Wam podesłać

  8. Co do kontaktu z Google, szczególnie w sprawie faktur, korekt lub not korygujących nigdy nie miałem najmniejszego problemu. Najlepiej dzwonić bezpośrednio. Nie zdarzyło się nigdy aby nie pomogli a w innych sprawach aby nie starali się pomóc (to już różnie bywało :D ). Proszę głupot nie wypisywać.

    • na google.com czy google.pl?

  9. Co do samej poczty to na innych jest zdecydowanie gorzej, np. na interi.pl z którj korzystam. Tam takie emaile to standard od lat. Z ciekawostek napiszę, że np. dostaję majle od niby Google z podkreślnikiem w adressie _ ale Google nie pozwala w nazwie go używać i od razu wiadomo, że coś nie tak …

  10. Co do tej faktury od Google to ani Polska ani USA tylko oddział w Irlandii prawdopodobnie był właściwy, bo kto ją wystawił??? Dla EU wszystko idzie z Irlandii z tego co wiem.

  11. […] Od kilku tygodniu zaobserwowałem więcej prób phisingu. Czasami bywa to nudne, ale sugeruję nie poddawać się i zgłaszać (poniżej). A to tak w ramach „ciekawych błędów” gmail, więcej na niebezpieczniku. […]

  12. Musi być w gmailu również podobny błąd, polegający na tym, że ktoś wysyła do mnie e-mail i jako nadawca, wpisany jest mój adres e-mail. Czyli wygląda to tak, jakbym to ja wysyłał go do siebie samego. Dostałem ostatnio coś takiego, z automatu gmail wrzucił to do spamu. Ja jako nadawca, treść łamanym językiem przepuszczonym przez translator. Treść mniej więcej taka, że ktoś przejął mój komputer, nagrał z kamerki jak się masturbuje (szkoda, że nie mam kamerki) i jak nie wpłacę okupu to wszyscy znajomi dostaną filmik :D Wiadomości oczywiście nie było w folderze “wysłane”, a sprawdzenie ostatnich sesji logowania też nie pokazało nic nowego. Dwuetapowe uwierzetylnienie logowania działa, i też nic tam się nie działo, więc pomyślałem o jakimś błędzie właśnie. A tu proszę, jest ich więcej.

    • Jeśli nie było jej w wysłanych, to to nie był błąd w Gmailu, a zwykły spoofing email.
      Każdy może wysłać e-maila z dowolnego adresu, ale na szczęście nie jest to nawet bliskie ideału, I łatwo jest wykryć że wiadomość nie pochodzi z właściwego serwera.
      Dlatego właśnie Gmail (i chyba każdy klient z nadającym się do czegokolwiek filtrem spamu) od razu to wrzuca do spamu.

      Nie ma więc co panikować – to nie problem z Gmailem, a z emailami w ogóle i go już się raczej nie naprawi :)

    • @opliko95: dlaczego się nie naprawi? Protokół SMTP (i POP/IMAP) są ułomne, ale wystarczy w konsumenckich (sendmail, exim, itd.) i komercyjnych (+ własnych Googla i reszty dużych) serwerach pocztowych (nie jako rozszerzenia) wdrożyć bajerki typu SPF, DMARC, CAA i zacząć ignorować niebezpieczne konfiguracje typu “+all” ;) … a jakby jeszcze Google udostępniło swoje blacklisty jako dnsbl publicznie dla reszty świata; to już w ogóle szał. Co się nie da? Po prostu wszyscy mówią tylko i mówią, a jak przychodzi co do czego to robimy furtki bo np. serwer A czy B “nie potrafi” SPF. Olać ich, niech sie dostosują albo admina zatrudnią. ;)

    • Ale SPF sprawdza tylko MAIL FROM z nagłówków SMTP – jeżeli w samej wiadomości wstawiony jest nagłówek “From” z podstawionym innym adresem, tu już niewiele pomoże – zresztą w taki właśnie sposób można w większości klientów pocztowych (oraz w webmailach MS i gógla) skonfigurować widoczny adres nadawcy – przydaje się, jeżeli ten jest tylko forwarderem na właściwą skrzynkę.

  13. @Lukasz032: no cóż, dlatego napisałem że coś takiego by trzeba zaimplementować w serwerach SMTP i sprawdzać dokładniej co się dzieje z mailem który wchodzi, skąd wchodzi, jak wchodzi itd. takie combo

    • Tu granica jest cienka – łatwo przez to uwalić usability albo dołożyć ogromną liczbę fałszywych pozytywów, a zwłaszcza gdy jakiś mail potrzebny jest “na już”, nie każdemu chce się szukać w spamie, który może być mocno zawalony prawdziwym spamem ;)

  14. mam pytanie na inny temat,dlaczego jak w bankomacie brak gotówki nie ma informacji,że jest brak środków natomiast bank pobiera z konta pieniądze mimo ze klient ich z bankomatu nie pobrał? czy to jest błąd systemu?

    • To interesująca sytuacja. Podaj numer karty i ccv to sprawdzimy ;)

  15. Nie po raz pierwszy Google jak ser szwajcarski dziurawe…

  16. Właśnie odstałem takiego maila z tematem “Uwaga dotycząca bezpieczeństwa. ***@gmail.com został zhakowany!”. Wiadomość jest w wysłanych i odebranych, nagłówek From i To to mój adres. Co ciekawe z datą z przyszłości (+5 godzin), a X-Mailer: Microsoft Outlook 14.0, którego nie używam.
    Trwa to już prawie miesiąc, a google nic z tym nie robi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.