Phishing avançado com SSL legal do Google

Há cerca de dois meses, relatamos um golpe de phishing usando o Google Docs e o Google Drive. Esse mesmo golpe está circulando novamente, mas desta vez é mais eficaz do que os milhões de mensagens de phishing que vemos todos os dias, porque a página de phishing do Google Drive é veiculada via SSL pelo serviço legal do Google.

Aqueles que analisam se uma página é phishing se concentram mais na inspeção visual do URL para garantir que a conexão seja segura. É uma boa abordagem, mas não ajudará a impedir esse ataque.

Como antes, a mensagem de phishing do invasor usa um tema simples do Google Docs e contém um URL que aponta para uma página de phishing hospedada no serviço de armazenamento de arquivos do Google Drive:

Google-Drive-Phishing

Figura 1. Página de phishing do Google Drive

No entanto, desta vez os phishers cometeram um pequeno erro. No canto inferior da página, há uma janela de seleção de idioma. Para alguém que é cuidadoso, isso pode ser uma bandeira vermelha de que algo está errado. Parece que os phishers acidentalmente destruíram a página, pois alguns nomes de idiomas são apresentados com um ponto de interrogação em cada lado:

Google-Drive-Phishing-1

Figura 2. Opções de idioma destruído

Essa corrupção provavelmente ocorre porque o Google lista os idiomas escritos como estão nos países que os falam: por exemplo, o coreano é escrito na língua materna coreana com o alfabeto Hangul: 한국어. Quando os phishers armazenavam uma cópia da página do Google, provavelmente não usavam a codificação de caracteres UTF-8, mas a ISO-8859-1 (Latin-1), que causa esse erro nas fontes.

Muitas das vítimas podem não perceber esse erro na página porque está em um canto e não está visível. Mesmo que a vítima perceba as fontes erradas, elas podem pensar que são um pequeno bug ou um problema com seu próprio computador.

As credenciais roubadas são enviadas para um script PHP localizado em um servidor que foi comprometido:

Google-Drive-Phishing-2 De acordo com a Symantec, esse script tem o mesmo nome (performact.php) que vimos no esquema que publicamos há dois meses, o que sugere que sua equipe Os invasores são os mesmos (ou pelo menos usam o mesmo pacote de phishing) .O script redireciona a vítima para um documento hospedado no Google Drive e foi projetado para enviar credenciais aos atacantes.

Fonte: secnews.gr