Clever Geek Handbook

メールを盗む方法:Gmail釣り

画像



この記事は、より独創的なふりをするものではなく、新しい攻撃ベクトルを明らかにするものでもありません。 Google Mailの「偽物」の深刻な実装を見たので、habrasocietyに警告することにしました。







最近、私のメールボックスへの自動転送を確認/キャンセルするという興味深い手紙がメールに届きました。



画像



すぐに警告したもの:



Gmailメールno-reply @ no-reply.com googolはそのドメインから応答しているようです。



webforward@google.comは、メールをメールに自動的に転送するように要求しました

myprettygooglemailaccount@gmail.com



フォワーディングをインストールしませんでした。アドレスが愚かです。



私たちは手紙の出所に登り、この興味深い映画を見ます:



配信先:myprettygooglemailaccount@gmail.com

受信:SMTP ID a10csp64285vddの10.52.15.234によって;

2012年4月13日金曜日17:15:49 -0700(PDT)

受信:SMTP id o41mr2024248wei.121.1334362548500の10.216.132.169によって;

2012年4月13日金曜日17:15:48 -0700(PDT)

Return-Path:<play8189@4003.ru>

受信: seromailco.comから([91.220.131.22])

ESMTPS ID r8si11185472weq.31.2012.04.13.17.17.15.47のmx.google.comによって

(バージョン= TLSv1 / SSLv3暗号= OTHER);

2012年4月13日金曜日17:15:48 -0700(PDT)

Received-SPF:ニュートラル(google.com:91.220.131.22 は、play8189 @ 4003.ruのドメインの最適な推測レコードによって許可または拒否されません)client-ip = 91.220.131.22 ;

認証結果:mx.google.com; spf =ニュートラル(google.com:91.220.131.22 はplay8189@4003.ruのドメインの最良推測レコードによって許可も拒否もされません)smtp.mail=play8189@4003.ru

受領:seromailco.comによるapacheからローカル(Exim 4.72)

(封筒から< play8189@4003.ru >)

id 1SIqpO-00026N-Vt

myprettygooglemailaccount@gmail.com; 土、2012年4月14日02:26:59 +0200

日付:2012年4月14日(土)02:26:58 +0200

メッセージID:<E1SIqpO-00026N-Vt@seromailco.com>

宛先:myprettygooglemailaccount@gmail.com

件名:=?Utf-8?B?KCM4MzUyMDgwODMpIEdtYWlsIEZvcndhcmRpbmcgQ29uZmlybWF0aW9uIC0gUmVjZWl2ZSBFbWFpbHMgZnJvbSB3ZWJb3DZ = JBJDJ =

X-PHP-Script: 94.228.220.68の4003.ru/sende/send.php

From:=?Utf-8?B?R23QsGlsINCi0LXQsG3CrQ ==?= < No-reply@no-reply.com >

コンテンツタイプ:テキスト/ html; 文字セット= utf-8

MIMEバージョン:1.0



そこに点滅したもの: 4003.ru/sende-アノニマイザー



だから、そう。 彼らは私たちに何を望んだのですか? 退会するには、リンクをたどる必要があります。 

https://mail.google.com/mail/vf-7c1083523-2vDb6Vv1a5G0cJEFvk_yq17eTQ0k


実際には: 

 http://acc.check-googlemail.com/inbox/135410f73da242f/ServiceLogin/ServiceLogin.php?email=myprettygooglemailaccount@gmail.com




リンクをたどると(Mozillaで既にブロックされています)、Googleのファビコンなどのあるフィッシングページが表示されます。



画像



くしゃみをするときにパスワードを要求する妄想的なgoogolと非常によく似ています。 パスワードを入力すると、攻撃者に渡され、送信するとメールにリダイレクトされます(リンクをクリックしたときにパスワードを残しませんでした!)。



それは非常に信じがたい写真です。 注意してください。


More articles:


All Articles