Эта статья не претендует на сверх оригинальность и не раскрывает каких-то новых векторов атаки. Увидел серьезную реализацию «фейка» для гуглопочты и решил предупредить читатели.
Недавно на почту пришло интересное письмо, якобы о подтверждении/отмены автоматической пересылки на мой ящик.
Что сразу насторожило:
Gmаil Теаm no-reply@no-reply.com гугол вроде бы отвечает со своих доменов.
webforward@google.com has requested to automatically forward mail to your email
myprettygooglemailaccount@gmail.com.
Никакую пересылку я не устанавливал, да и адрес стрёмный.
Лезем в исходник письма и наблюдаем вот такое интересное кино:
Delivered-To: myprettygooglemailaccount@gmail.com
Received: by 10.52.15.234 with SMTP id a10csp64285vdd;
Fri, 13 Apr 2012 17:15:49 -0700 (PDT)
Received: by 10.216.132.169 with SMTP id o41mr2024248wei.121.1334362548500;
Fri, 13 Apr 2012 17:15:48 -0700 (PDT)
Return-Path: <play8189@4003.ru>
Received:from seromailco.com ([91.220.131.22])
by mx.google.com with ESMTPS id r8si11185472weq.31.2012.04.13.17.15.47
(version=TLSv1/SSLv3 cipher=OTHER);
Fri, 13 Apr 2012 17:15:48 -0700 (PDT)
Received-SPF: neutral (google.com: 91.220.131.22 is neither permitted nor denied by best guess record for domain of play8189@4003.ru) client-ip=91.220.131.22;
Authentication-Results: mx.google.com; spf=neutral (google.com: 91.220.131.22 is neither permitted nor denied by best guess record for domain of play8189@4003.ru) smtp.mail=play8189@4003.ru
Received: from apache by seromailco.com with local (Exim 4.72)
(envelope-from <play8189@4003.ru>)
id 1SIqpO-00026N-Vt
for myprettygooglemailaccount@gmail.com; Sat, 14 Apr 2012 02:26:59 +0200
Date: Sat, 14 Apr 2012 02:26:58 +0200
Message-Id: <E1SIqpO-00026N-Vt@seromailco.com>
To: myprettygooglemailaccount@gmail.com
Subject: =?utf-8?B?KCM4MzUyMDgwODMpIEdtYWlsIEZvcndhcmRpbmcgQ29uZmlybWF0aW9uIC0gUmVjZWl2ZSBFbWFpbHMgZnJvbSB3ZWJmb3J3YXJkQGdvb2dsZS5jb20=?=
X-PHP-Script: 4003.ru/sende/send.php for 94.228.220.68
From: =?utf-8?B?R23QsGlsINCi0LXQsG3CrQ==?= <no-reply@no-reply.com>
Content-type: text/html; charset=utf-8
Mime-Version: 1.0
Что там такое промелькнуло: 4003.ru/sende/ — анонимайлер.
Так, так. Что там от нас хотели? Чтобы отписаться, нужно пройти по ссылке:
https://mail.google.com/mail/vf-7c1083523-2vDb6Vv1a5G0cJEFvk_yq17eTQ0k
которая на самом деле:
http://acc.check-googlemail.com/inbox/135410f73da242f/ServiceLogin/ServiceLogin.php?email=myprettygooglemailaccount@gmail.com
Если перейти по ссылке (в мозилле уже блокируется), то попадем на фишинг страничку с фавиконом гугла и т.д.
Очень похоже на параноидальный гугол, который при любом чихе просит пароль. Если ввести пароль, он уйдет злоумышленнику, а при сабмите вас редиректит в вашу почту (вы ведь из нее не вышли, когда перешли по ссылке!).
Получается очень правдоподобная картина. Будте аккуратны.
Автор: exitusletaris