ΑρχικήinetΕξελιγμένο phishing με νόμιμο SSL της Google

Εξελιγμένο phishing με νόμιμο SSL της Google

Πριν από δύο μήνες περίπου, είχαμε δημοσιεύσει για μια απάτη phishing που χρησιμοποιούσε τις υπηρεσίες Google Docs και Google Drive. Αυτή η ίδια απάτη κυκλοφορεί και πάλι, αλλά αυτή τη φορά είναι πιο αποτελεσματική από τα εκατομμύρια των μηνυμάτων phishing που βλέπουμε κάθε μέρα, επειδή η σελίδα phishing του Google Drive σερβίρεται μέσω SSL από την ίδια τη νόμιμη υπηρεσία του Gοogle Drive.

Αυτοί που εξετάζουν αν μια σελίδα είναι phishing εστιάζουν περισσότερο στην οπτική επιθεώρηση του URL για να βεβαιωθούν ότι η σύνδεση είναι ασφαλής. Είναι μια καλή προσέγγιση, αλλά δεν θα βοηθήσει στην πρόληψη κατά της συγκεκριμένης επίθεσης.

Όπως και στο παρελθόν, το μήνυμα phishing του εισβολέα χρησιμοποιεί ένα απλό θέμα του Gοogle Docs και περιέχει μια διεύθυνση URL που δείχνει προς μια phishing σελίδα που φιλοξενείται στην υπηρεσία αποθήκευσης αρχείων Google Drive:

Phishing
Σχήμα 1 . Gοogle Drive phishing σελίδα

#secnews #europol 

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost 
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 20 hours ago

Ωστόσο, αυτή τη φορά οι phishers έχουν κάνει μια μικρό λάθος. Στην κάτω γωνία της σελίδας , υπάρχει ένα παράθυρο επιλογής γλώσσας. Για κάποιον που είναι προσεκτικός αυτό θα μπορούσε να είναι μια κόκκινη σημαία ότι κάτι δεν πάει καλά. Φαίνεται ότι οι phishers κατέστρεψαν κατά λάθος τη σελίδα, καθώς μερικά ονόματα γλωσσών παρουσιάζονται με ένα ερωτηματικό σε κάθε πλευρά :

Google Drive Phishing 1

Σχήμα 2 . Κατεστραμμένες επιλογές γλώσσας

Αυτή η διαφθορά είναι πιθανώς επειδή η Gοogle παραθέτει τις γλώσσες γραμμένες όπως είναι στις χώρες που τις ομιλούν: για παράδειγμα, τα Κορεατικά αναγράφονται στη μητρική γλώσσα της Κορέας με το αλφάβητο της Hangul: 한국어. Όταν phishers αποθήκευσαν ένα αντίγραφο της σελίδας του Google, κατά πάσα πιθανότητα δεν χρησιμοποίησαν κωδικοποίηση χαρακτήρων σε UTF- 8 αλλά ISO- 8859-1 ( Latin-1 ), που προκαλεί αυτό το σφάλμα στις γραμματοσειρές.

Πολλά από τα θύματα δεν μπορούν να παρατηρήσουν αυτό το σφάλμα στη σελίδα, διότι βρίσκεται σε μια γωνία και δεν διακρίνεται. Ακόμη και αν το θύμα προσέξει τις λάθος γραμματοσειρές, μπορεί να νομίζει ότι είναι κάποιο μικρό bug ή κάποιο πρόβλημα με το δικό τους υπολογιστή.

Τα Κλεμμένα διαπιστευτήρια αποστέλλονται σε ένα PHP script που βρίσκεται σε ένα διακομιστή που έχει παραβιαστεί:

Phishing 2

Σύμφωνα με την Symantec αυτό το script έχει το ίδιο όνομα (performact.php) που είδαμε στην απάτη που δημοσιεύσαμε πριν από δύο μήνες, γεγονός που υποδηλώνει ότι η ομάδα των επιτιθέμενων είναι η ίδια ( ή τουλάχιστον χρησιμοποιούν το ίδιο πακέτο phishing ). Το script ανακατευθύνει το θύμα σε ένα έγγραφο που φιλοξενείται στο Gοogle Drive και είναι σχεδιασμένο να στέλνει τα διαπιστευτήρια στους επιτιθέμενους.

 

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS