A több hónapja működő, egyre több e-mail-szolgáltatásra átterjedő átverés a következőképpen működik: kapunk egy e-mailt – csatolmánnyal együtt -, általában valakitől, akit jól ismerünk és akivel e-mail-kontaktban vagyunk. (Ez kezdésnek nem meglepő, hiszen sokkal könnyebben bedőlhetünk bárminek, ha az megbízhatónak ítélt embertől jön, a rosszindulatú kódot, linket, bármit pedig csatolmánnyal könnyebben át tudjuk adni, mint egy megkattintandó linkkel, amire amúgy sajnos még 2017-ben is gond nélkül rácsapnak az emberek rosszabb pillanataikban.)
This is the closest I’ve ever come to falling for a Gmail phishing attack. If it hadn’t been for my high-DPI screen making the image fuzzy… pic.twitter.com/MizEWYksBh
— Tom Scott (@tomscott) December 23, 2016
A trükk a fenti képen látható: így néz ki ugyanis az, amikor valaki Gmailen keresztül küld nekünk egy csatolmányt. Az átverés természetesen a csatolmánnyal együtt érkezik – amit ugyanis a képen (és az e-mailben) látunk, az nem csatolmány, hanem egy odatűzött kép, amire rákattintva már egy kamu Google-bejelentkező képernyőhöz érkezünk. Itt újra meg kell adnunk e-mail címünket és jelszavunkat, ami jobbaknál már elegendő vészjelzőt indítana be ahhoz, hogy ne adják meg adataikat – persze, van az a fokú sietség, frusztráció vagy a lejárt sessionök felett érzett tehetetlen düh, ami miatt valaki hajlandó újra megadni az adatait.
Extra komplikáció, hogy a bejelentkező-képernyő teljesen hitelesnek néz ki addig a pillanatig, amíg rá nem nézünk a böngésző címsorára, ahol a következőt láthatjuk:
Ez pedig nem egy új weboldal címe, hanem egy script, amit azzal aktiválunk, hogy rákattintunk a csatolmányra: ha pedig itt megadjuk a jelszavunkat, a támadók azonnal áttúrják kontaktlistánkat, megnézik, kivel beszéltünk a legtöbbet, milyen jellegű csatolmányokat küldtünk nekik, azoknak mi a neve és ez alapján állítanak össze és küldenek tovább egy olyan megtévesztő támadó e-mailt, amihez hasonlót mi is kaptunk.
Hogyan tudunk védekezni ez ellen?
Józan ésszel. Ha egy csatolmányra rákattintva újra meg kellene adnunk a jelszavunkat annak a szolgáltatásnak, ahonnan elindultunk, ott már könnyen gyanút foghatunk. Kikerülhetjük a problémát azzal is, ha megnézzük, hogy mi van a címsorban: ha zöld lakattal kezdődik, utána pedig rögtön https://-t olvashatunk, azt biztonságosnak ítélhetjük. Ha nincs lakat és/vagy nem https:// protokollmegjelöléssel indul a cím, érdemes megállni és végiggondolni, hogy mikre kattintottunk. Tanácsos beállítani a kétlépcsős azonosítást, hogy esetleges probléma esetén legyen még egy kapaszkodónk, ami visszafogja a támadókat attól, hogy teljesen átvegyék mailboxunk felett az irányítást.
Milyen URL-t találunk a böngésző címsorában (és ha gyanús a cím, más karakterek vannak benne, eltérő címre visz, nem URL-t találunk ott hanem kódsort, esetleg még jelölést/utalást sem látunk arra a címsorban, hogy HTTPS-kapcsolatban lennénk, akkor már gyaníthatjuk, hogy bármit is csinálunk, érdemes lenne abbahagyni).