16:55
10/8/2014

W ciągu paru ostatnich dni kilku naszych czytelników przesłało nam bardzo ciekawą próbę phishingu, która wycelowana jest w posiadaczy konta GMail. Wiadomość wygląda bardzo wiarygodnie i z racji łudzącego podobieństwa do oficjalnych komunikatów Google może wprowadzić was w błąd, który skończy się przejęciem Waszego konta.

Oto jak wygląda wiadomość:

Phishing na GMaila - wiadomość wygląda bardzo wiarygodnie

Phishing na GMaila – wiadomość wygląda bardzo wiarygodnie

Jest ona bardzo wiarygodna, bo dla wielu osób e-mail nadawcy jest wystarczająco podobny do oficjalnego (mimo, że to nie e-mail, a jego opis), dodatkowo nadawca zwraca się do odbiorcy jego e-mailem (prosta, ale skuteczna sztuczka sugerująca, że jest to wiadomość spersonalizowana) i na koniec link do wyłudzającej dane domeny jest bardzo wiarygodny, bo jest to w istocie domena należąca do Google: googledrive.com.

Linki w wiadomości prowadziły do: hxxps://googledrive.com/host/0B8muFWm2kMAiVlhicVJSZThmTlU/

Oto nagłówki:

Return-Path:
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Tue, 05 Aug 2014 12:35:26 -0700 (PDT)
Received-SPF: none (google.com: postmail@mail.localhost.com does not designate permitted sender hosts) client-ip=2a01:238:20a:202:5317::1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: postmail@mail.localhost.com does not designate permitted sender hosts) smtp.mail=postmail@mail.localhost.com
X-RZG-CLASS-ID: cg07
Received: from magpyr.store ([192.168.45.44])
by jored.store (RZmta 35.2 OK)
with ESMTP id T0407eq75JZPaA5
for
Tue, 5 Aug 2014 21:35:25 +0200 (CEST)
Received: (from Unknown UID 1556244@localhost)
by post.webmailer.de (8.13.7/8.13.7) id s75JZPrZ009630;
Tue, 5 Aug 2014 19:35:25 GMT
X-Authentication-Warning: magpyr: Unknown UID 1556244 set sender to postmail@mail.localhost.com using -f
Subject: Suspicious activity prevented
Date: Tue, 5 Aug 2014 21:35:25 +0200
From: "no-reply@accounts.gmail.com" postmail@mail.localhost.com
Message-ID: f68957982dd1150a413c93ba565474be@skandinavien-export.com
X-Priority: 3
X-Mailer: PHPMailer 5.2.6 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_f68957982dd1150a413c93ba565474be"
Content-Transfer-Encoding: 8bit
X-RZG-SCRIPT: :fTtcOxH+KbFbb5jU9DU9NNPbZcSItK0PmarO3eniCDofBTMGB9sDOkzSK9PwEF8zyqiSjFisn0XYr9VxRBB2J9+yV1Q0Md6BIxglqETseZ8lq0iq6A==

A oto jak wyglądała strona pod linkiem:

Strona phishera

Strona phishera

Obecnie dostęp do ww. URL-a jest zablokowany (Google usunęło treści), ale niewykluczone że za chwilę pojawią się podobne wiadomości kierujące na inne, jeszcze nie zablokowane domeny.

Jeśli podejrzewacie, że ktoś przejął Waszą skrzynkę pocztową, zastosujcie się do porad, które opisaliśmy w artykule pt. Jak przejmować czyjeś konta Google (na przykładzie Wiedźmina 3). Warto też skorzystać z okazji i sprawdzić, czy na pewno macie włączone dwuskładnikowe uwierzytelnienie na GMailu.

Dziękujemy Michałowi, Pati i ehT77 za podesłanie informacji o tym ataku

Przeczytaj także:

10 komentarzy

Dodaj komentarz
  1. Kiedyś nieopatrznie zalogowałem się na konto Google mając VPNProxy w ustawieniach internetowych (żeby mieć adres IP z UK i oglądać ‘Doctora Who’ w BBC). Po jakimś czasie dostałem maila od siebie samego z tematem “Do you like it ? :)”. Nie , nie podobało mi się to. Od tego czasu jestem trochę przewrażliwiony na tym punkcie.

    Mam włączone 2 etapowe uwierzytelnianie w Google i Microsoft. Również skonfigurowałem sobie miesięczny raport o aktywności na koncie Google. Czy te kroki są wystarczające aby uniknąć przejęcia konta ?

  2. Do mnie nawet phisingi nie przychodzą :c

  3. Ostatnio na kontach pocztowych o2 zauważyłem wzmożone spamowanie wiadomościami, które nie są interpretowane poprawnie:
    From – Mon Aug 11 01:37:34 2014
    X-Account-Key: account5
    X-UIDL: 1173021618.3391688448.2952849491
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    X-Mozilla-Keys:
    Return-Path:
    Received: by o2.pl (o2.pl mailsystem) with LMTP;
    Mon, 11 Aug 2014 01:30:56 +0200
    Received: from 397781.s.dedikuoti.lt [185.5.52.58]
    by mx5.o2.pl with ESMTP id SjnYSX;
    Mon, 11 Aug 2014 01:32:34 +0200
    Received-SPF: softfail (mx5.o2.pl: domain of transitioning ufukschkv@eurogoldcard.com
    does not designate 185.5.52.58 as permitted sender)
    Date: Mon, 11 Aug 2014 04:22:22 +0400
    Message-ID:
    From: Crocefissa Arrighi
    To: XXX@o2.pl
    Subject:Dlaczego bogaci moga obejsc system? Sekret bankowy zostal ujawniony!
    Mime-Version: 1.0 (Mac OS X Mail 6.3 \(1503\))
    Content-Type: multipart/alternative;
    boundary=”Apple-Mail=_DDA99EBE-980D-4F89-B1C1-959DBB87C6A5″
    X-O2-Trust: 3, 89
    X-O2-SPF: softfail

    24-godzinne dochody! Ta metoda jest czyms czego nie odrzucisz! Prawdziwe pieniadze! Bez oszustw!
    http://urla.ru/10000yy9

    Adres zamieniłem na XXX, chociaż w sumie nie mój. Generalnie przekierowanie na w miarę dobrze zrobioną podróbkę Yahoo! Dalej nie analizowałem, wygląda na jakiś rosyjski myk na jabłuszkowców…

  4. Boru, już się bałem, że zidiociałem do końca. Straszycie, a do mnie przyszedł taki prawdziwy w weekend :F

  5. Kiedyś przez pomyłkę po VPNie wszedłem sobie na “grzeczną” skrzynkę. Jak później dostałem maila o aktywności z Białorusi to mało zawału nie dostałem. Od tego czasu używam 2FA, choć to też pewności nie daje.

  6. Ja tam się nie przejmuję, wiem, że chłopaki z 3 literowych agentur, mają zbackupowane wszystkie moje hasła i dane z każdego konta z gugiela. Kiedyś notorycznie miałem wejścia na moje konta guglowe z róznych ip z usa, teraz się nauczyli przynajmniej wyrzucać to z raportów miesięczynch aktywności… Niech czytaj, niech q.. uczą po polskiemu.

  7. Moja żona dostała taką wiadomość:
    Return-Path:
    Received-SPF: pass (google.com: domain of 3-2voUwgTCRoDE-H4FBO022EKDJI.6EE6B4.2ECH0C54B3.C6C08B.2EC@gaia.bounces.google.com designates 10.42.62.73 as permitted sender) client-ip=10.42.62.73
    Authentication-Results: mr.google.com;
    spf=pass (google.com: domain of 3-2voUwgTCRoDE-H4FBO022EKDJI.6EE6B4.2ECH0C54B3.C6C08B.2EC@gaia.bounces.google.com designates 10.42.62.73 as permitted sender) smtp.mail=3-2voUwgTCRoDE-H4FBO022EKDJI.6EE6B4.2ECH0C54B3.C6C08B.2EC@gaia.bounces.google.com;
    dkim=pass header.i=@accounts.google.com
    X-Received: from mr.google.com ([10.42.62.73])
    by 10.42.62.73 with SMTP id x9mr19719610ich.15.1407740923874 (num_hops = 1);
    Mon, 11 Aug 2014 00:08:43 -0700 (PDT)

    Czy to prawdziwa czy podszycie bo niby w domenie google ?

  8. Panie Piotrze jak ustawić żeby wyświetlał się prawdziwy adres email w gmailu.
    Domyślnie jest wyłączone co zrobić jak żyć :P.

  9. Mnie raz przyszła taka wiadomość, ale zaraz ją skasowałam nie klikając w żadne odnośniki znajdujące się w niej. Czy mimo to mojej skrzynce mailowej coś grozi?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: