Przejdź na

Błąd w Gmailu może ułatwić ataki phishingowe

W poczcie Google odkryty został błąd, który może ułatwić rozsyłanie wiadomości będących częścią kampanii phishingowych. Aplikacja przeglądarkowa w pewnych warunkach pozwala na ukrycie adresu nadawcy e-maila.

Błąd w Gmailu pozwala ukryć nadawcę e-mailaBłąd w Gmailu pozwala ukryć nadawcę e-maila
Anna Rymsza

Sprawdzając pocztę z użyciem przeglądarkowej aplikacji Gmaila nie zobaczymy adresu nadawcy, jeśli w nagłówku From: część tekstu zostanie zastąpiona znacznikami HTML: <img>, <object> lub <script>. W takim przypadku odbiorca zobaczy puste pole zamiast adresu nadawcy e-maila. Osoby mniej dociekliwe będą miały problem z odkryciem prawdziwego adresu nadawcy. Otwarcie wiadomości nie wystarczy, adres pozostanie ukryty także po kliknięciu w pole From: i nie zobaczymy na nim typowych akcji, jak rozpoczęcie rozmowy przez Hangouts czy zaplanowanie spotkania. Nie pomoże także próba odpowiedzi na tak przygotowany e-mail ani włączenie widoku szczegółów.

Obraz

Problem nie leży w obsłudze nagłówków, ale w interfejsie przeglądarkowej aplikacji Gmaila. Dopiero widok nagłówków e-maila w postaci tekstu pokaże, w tym leży problem. Wszystkie inne widoki starają się zinterpretować znacznik HTML, nawet jeśli zawarte w nim dane zostaną zapisane z błędem. Niestety przeciętny użytkownik Gmaila nie będzie zawracał sobie głowy szukaniem takich informacji, jeśli otrzyma dobrze przygotowaną, anonimową wiadomość.

Największe niebezpieczeństwo leży w tym, że wiadomość bez informacji o nadawcy może uchodzić za powiadomienie systemowe od administratora poczty. Wielu użytkowników da się nabrać, jeśli zobaczy coś takiego:

Obraz

Imitacja wiadomości związanej z dwuetapową autoryzacją może doprowadzić do nieświadomego przekazania danych do konta atakującym.

Błąd został opisany przez Tima Cottena. Nie jest to pierwsze jego odkrycie tego typu. Wcześniej odkrył, że odpowiednio spreparowany nagłówek From: może zamienić adres w polu nadawcy.

Interfejs Gmaila ma kilka takich drobnych błędów, które umiejętnie wykorzystane pozwolą przeprowadzić bardzo skuteczną kampanię phishingową. Podstawowym problemem jest jednak brak kontroli poprawności nagłówków.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯