Mark Maunder, szef Wordfence, wtyczki bezpieczeństwa do Wordpressa, opisał na swoim firmowym blogu najnowszą kampanię wymierzoną w użytkowników Gmaila. Atak zaczyna się w momencie otrzymania maila od osoby, z którą wcześniej była prowadzona korespondencja.
Wówczas w mailu od nadawcy pojawia się załącznik. To ważny element kampanii, ponieważ plik przypomina ten, który pojawił się wcześniej w skrzynce. Treść wiadomości także jest istotna, ponieważ może być kontynuacją poprzednich rozmów dla uwiarygodnienia całej operacji. Po otworzeniu załącznika użytkownik zostaje przekierowany na stronę logowania – niemal idealną kopię ekranu logowania Google. Nie wiadomo, czy hakerzy stworzyli tylko jedną wersję językową, czy korzystają z biblioteki wyszukiwarki, dopasowując stronę do adresu IP.
To, co powinno zwrócić uwagę użytkownika, to brak jakichkolwiek „zielonych kłódek” czy oznaczenia bezpiecznego połączenia. Sam adres zaczyna się inaczej niż powinien ("data:text/html,htpps:" i dopiero potem właściwy adres strony), różni się zaledwie początkowym członem adresu. W ten sposób osoba nie znająca "sztuczek" przestępców zaloguje się na tej fałszywej stronie – można by uznać, że skoro adres posiada "https", to połączenie jest bezpieczne. Z drugiej jednak strony, przeglądarka nie wyświetla kłódek – ani zielonej, ani czerwonej, tak więc powinno to wzbudzić podejrzenia.
W momencie wpisania danych użytkownik traci kontrolę nad swoim kontem. Eksperci zaznaczają, że taka szybka reakcja może oznaczać tylko jedną z dwóch rzeczy. Albo dane przesłane do logowania przez fałszywą stronę są obsługiwane w sposób automatyczny, albo za kampanią stoi duża grupa hakerska, na bieżąco śledząca wszystkie działania.
Po przejęciu konta Gmail hakerzy atakują kolejne adresy w ten sam sposób. Wśród ofiar pojawili się eksperci cyberbezpieczeństwa. Oznacza to, że nawet użytkownicy internetu posiadający wiedzę na temat zagrożeń mogą stracić kontrolę nad swoim kontem.
Czytaj też: Hakerzy korzystają ze starej luki w serwisie YouTube
Dopóki Gmail nie zablokuje możliwości otwierania skryptu z plików, jedynym sposobem, aby konto było bezpieczne, jest uważne czytanie adresu przekierowania. Warto także uważać na wygląd linka do strony w przyszłości. Nie mieści się on w całości w pasku adresowym, najlepiej więc jest skopiować go do edytora tekstowego, aby sprawdzić, czy nie pojawiły się w nim wzbudzające podejrzenia elementy.