חוקרים מזהירים מניסיון פישינג מתוחכם נגד משתמשי Gmail

התוקפים מנצלים חשבונות של חברים כדי לגרום למשתמשים לחשוף את הססמאות שלהם

עודד ירון
שתפו בפייסבוק
שתפו כתבה במיילשליחת הכתבה באימייל
שתפו כתבה במיילשליחת הכתבה באימייל
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
עודד ירון

חוקרי אבטחה מזהירים מתרמית פישינג מתוחכמת נגד משתמשי Gmail, שנפוצה ברשת בתקופה האחרונה. חברת Wordfence שדיווחה על התרמית, סיפרה שגם משתמשים מנוסים נפלו בפח שלהם.

בחברה הסבירו כי המתקפה מתפשטת בשנה האחרונה ברשת, ובשבועות האחרונים מדווחים גם משתמשים מנוסים כי הם נפגעו ממנה. התוקפים מנצלים ידע מוקדם שאספו דרך חבריהם של המשתמשים כדי לגרום לאנשים לחשוף את פרטי החשבון, ואז הם מתחברים לחשבונות שלהם.

מארק מאונדר, מנכ"ל החברה, הסביר כיצד פועלת המתקפה. "התוקף ישלח אימייל לחשבון הג'ימייל שלך. האימייל עשוי להגיע ממישהו שאתה מכיר, שחשבונו נפרץ באמצעות אותה שיטה. המייל עשוי לכלול משהו שנראה כמו תמונה של קובץ מצורף (צרופה) שאתה מזהה מהשולח".

בהודעה שפורסמה לאחרונה באתר האקר ניוז על המתקפה סיפר גולש, שעובד כאיש מחשוב בבית ספר עד כמה התקיפה מתוחכמת. לדבריו, כמה מצוות המורים וקומץ תלמידים נפלו בפח של ההאקרים והם נאלצו להשבית את כל מערכת המייל לכמה שעות כדי לנקות אותה. "הם נכנסו לחשבון של סטודנט אחד, שלפו קובץ מצורף עם לוח אימונים של קבוצת אתלטיקה, יצרו את תמונת המסך, שילבו את זה עם כותרת שהיתה קרובה לנושא, ושלחו לחברים אחרים של קבוצת האתלטיקה".

כך נראה מסך הכניסה המזוייף - בדיוק כמו מסך הכניסה הרגיל של שירותי גוגל
כך נראה מסך הכניסה המזוייף - בדיוק כמו מסך הכניסה הרגיל של שירותי גוגלצילום: Wordfence

אבל מה שהקורבנות הבאים מקבלים אינו קובץ מצורף, אלא למעשה תמונה עם קישור. כאשר המשתמשים לוחצים על התמונה הם מגיעים למסך שנראה בדיוק כמו מסך הכניסה של שירותי גוגל, אבל למעשה מדובר בלינק שנוצר במיוחד כדי שמצד אחד לא יעורר חשד (מפני ש-URL הוא כולל את הצירוף: accounts.google.com), ומצד שני יוביל את הקורבן לעמוד שיצרו התוקפים. זאת מפני שהלינק שלהם מכיל למעשה  סקריפט שפותח לשונית חדשה ובה הדף הזדוני שלהם.

כדי להימנע מנפילה במלכודת מאונדר ציין כי יש לשים לב היטב שהלינק של התוקפים מתחיל בצירוף data:text/. זאת בעוד שכל לינק למסך הכניסה של גוגל מתחיל ב-https://.

כך נראה הלינק הבעייתי: מתחיל ב-data:text
כך נראה הלינק הבעייתי: מתחיל ב-data:textצילום: Wordfence
וזה מה שתמצאו לקראת סופו
וזה מה שתמצאו לקראת סופו צילום: Wordfence

מאונדר ציין כי בדפדפנים חדשים כמו כרום או פיירפוקס, מופיע סימן של מנעול ירוק אם מדובר בחיבור מוצפן עם תעודת אבטחה בתוקף. אם התעודה אינה בתוקף, הדפדפן מציג אייקון של איקס אדום על רקע המנעול. ואולם, בגלל הצורה שבה נכתב הלינק של התוקפים, אין כל אינדיקציה לבעייתיות של הלינק, והוא מופיע כטקסט שחור רגיל.

מאונדר הוא ממליץ להפעיל בשירותי גוגל אימות דו שלבי, וכך גם המליצה החברה. (כאן תמצאו הסבר)

גוגל מסרה בתגובה כי היא מודעת לבעיה. "אנחנו ממשיכים לחזק את ההגנה שלנו נגד זה. עזרנו להגן על משתמשים מתקיפות פישינג בכמה דרכים, כולל: זיהוי מבוסס למידת מכונה של הודעות פישינג, אזהרות גלישה בטוחה שמודיעות למשתמשים על קישורים מסוכנים באימיילים ובדפדפנים, ומניעה של התחברויות חשודות לחשבונות". ארון שטיין מגוגל הסביר גם כי גרסה 56 של כרום תכלול ציון טקסטואלי לחיבורים שאינם מוצפנים (Not secure) בפרוטוקול SSL - כלומר חיבורים שמתחילים ב-http.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ