PapaRed
30.01.2019, 13:10
Социальная инженерия и поддержка Google в действии:
В гугл был сдан баг, который позволяет совершать атаку типа социальной инженерии основанной на многих совпадениях которые помогают сделать атаку достаточно успешной.
В интернетах ходили слухи ещё давно о том,что есть тема с фейковыми гугл формами, но конкретики никогда небыло. Вот конкретика в действии:
goo.gl редирект на любой сайт → Evilsite.com или фейк письмо → Деаунтефикация с Google → Стандартаня форма входа → Смотрите в браузер - всё хорошо → Ввели данные - Вас снова закинуло на форму → Злитесь, но вводите ещё раз на домене Google → Вас закидывает обратно → Вы подарили свои данные.
Баг был сдан по Баунти программе в Google и точный текст баги описан ниже:
Steps to reproduce:
1. X-Frame-Options (allows to iframe next url)
2. https://mail.google.com/mail/u/0/?ui=&ik=64411c67&jsver=UpvwBf_7018.ru.&view=om&th=15fa48c10f45e439 ( forces to logout)
3. After we make death we make Redirection to auth into google account which makes redirection to google form which does not ask for permission https://accounts.google.com/signin/...=1209600&continue=https://docs.google.com/for (https://accounts.google.com/signin/v2/sl/pwd?service=wise&passive=1209600&continue=https://docs.google.com/for) ms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform#?gmail.com&followup=https%3A %2F%2Fdocs.google.com%2Fforms%2Fd%2F1zTt-nSYom-9sIEFeKW1QMHfdMDx6PwYzbKpkmKmmf2k%2Fedit%3Fusp% 3Dsharing#https://gmail.com<mpl=forms&flowName=GlifWebSignIn&flowEntry=ServiceLogin
4.https://docs.google.com/forms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform google form which looks very similar to gmail login page
Scenario attack: -> -> Browser/OS: Chrome/Firefox . Windows, Linux.
Детали выложены на GitHub вместе с видео, можно посмотреть.
https://github.com/vulnz/fail-gmail
Репозиторий не слишком новый, но тему нужно поднять и обсудить.
Также стоит обратить внимание на:
https://camo.githubusercontent.com/ad4a1892cd540b42d7e92bccb338638014b2d8ca/68747470733a2f2f7332322e706f7374696d672e63632f766f 307a74687035742f323031382d30382d32325f362e34342e35 302e706e67
Эта информация показывает,что Google НЕ заинтересован в защите от социальной инженерии своих клиентов, почему? Неизвестно.
В гугл был сдан баг, который позволяет совершать атаку типа социальной инженерии основанной на многих совпадениях которые помогают сделать атаку достаточно успешной.
В интернетах ходили слухи ещё давно о том,что есть тема с фейковыми гугл формами, но конкретики никогда небыло. Вот конкретика в действии:
goo.gl редирект на любой сайт → Evilsite.com или фейк письмо → Деаунтефикация с Google → Стандартаня форма входа → Смотрите в браузер - всё хорошо → Ввели данные - Вас снова закинуло на форму → Злитесь, но вводите ещё раз на домене Google → Вас закидывает обратно → Вы подарили свои данные.
Баг был сдан по Баунти программе в Google и точный текст баги описан ниже:
Steps to reproduce:
1. X-Frame-Options (allows to iframe next url)
2. https://mail.google.com/mail/u/0/?ui=&ik=64411c67&jsver=UpvwBf_7018.ru.&view=om&th=15fa48c10f45e439 ( forces to logout)
3. After we make death we make Redirection to auth into google account which makes redirection to google form which does not ask for permission https://accounts.google.com/signin/...=1209600&continue=https://docs.google.com/for (https://accounts.google.com/signin/v2/sl/pwd?service=wise&passive=1209600&continue=https://docs.google.com/for) ms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform#?gmail.com&followup=https%3A %2F%2Fdocs.google.com%2Fforms%2Fd%2F1zTt-nSYom-9sIEFeKW1QMHfdMDx6PwYzbKpkmKmmf2k%2Fedit%3Fusp% 3Dsharing#https://gmail.com<mpl=forms&flowName=GlifWebSignIn&flowEntry=ServiceLogin
4.https://docs.google.com/forms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform google form which looks very similar to gmail login page
Scenario attack: -> -> Browser/OS: Chrome/Firefox . Windows, Linux.
Детали выложены на GitHub вместе с видео, можно посмотреть.
https://github.com/vulnz/fail-gmail
Репозиторий не слишком новый, но тему нужно поднять и обсудить.
Также стоит обратить внимание на:
https://camo.githubusercontent.com/ad4a1892cd540b42d7e92bccb338638014b2d8ca/68747470733a2f2f7332322e706f7374696d672e63632f766f 307a74687035742f323031382d30382d32325f362e34342e35 302e706e67
Эта информация показывает,что Google НЕ заинтересован в защите от социальной инженерии своих клиентов, почему? Неизвестно.