Руските хакери ја користат инфраструктурата на Гугл за да хакираат Гмаил корисници

Успешноста на методот со кој се нападнати околу 200 корисници на Гмаил, меѓу кои и новинари, активисти, луѓе поврзани со украинската армија и сл, во најголем дел зависи од корисникот што е нападнат, без чиј клик ниту еден напад не може да биде успешен. Секако и самите напади се совршено осмислени.

 

Она што хакерите махерски го совладале е како да ја употребат самата инфраструктура на Гугл против корисниците на Гугл. Борбата е да се стигне до лозинката од Гмаил на нападнатиот.

Прво на жртвата и се испраќа меил дека некој и ја има украдено лозинката и од нејзе се бара да ја смени. Пораката има изглед на автентичен меил од Гугл, меѓутоа нема никаква врска со нив. Во него освен што ти објаснуваат дека некој ти ја украл лозинката, има и копче за да ја смениш.

"Копчето 'Change password' води до УРЛ од tiny.cc сервисот за скратени УРЛ-а. Меѓутоа хакерите го имаат замаскирано како легитимен линк користејќи го АМП на Гугл (Accelerated Mobile Pages). АМП е сервис на Гугл оригинално наменет за забрзување на веб-страните на мобилни уреди. Во пракса, тој прави копија од нечија веб-страна на серверите на Гугл, ама функционира и како редирект.

Според истражувачите од Ситизен лаб, хакерите го искористиле АМП на Гугл за да ги прелажат своите жртви дека мејлот доаѓа директно од Гугл.

Како што објаснува истражувачот од Ситизен лаб, Џон Скот-Раитон: 'Ова е игра на проценти, може нема да ти успее секој пат, ама ќе ти успее кај одреден процент.'

Па ако жртвите набрзинка имаат пројдено со маусот преку копчето за менување лозинки за да видат на кој линк води, ним ќе им се покаже адреса која почнува со google.com/amp што изгледа безбедно, а по неа ќе има УРЛ од tiny.cc, што корисникот може и да не го забележи. (На пример https://www.google[.]com/amp/tiny.cc/63q6iy)),"пишува Лоренцо Франчески-Бикераи во анализата на нападите за Мадерборд.

 

31 мај 2017 - 10:30