Firma Google aktywnie walczy z phishingiem, angażujac do tego także swoją technologie maszynowego uczenia się i wyświetlając ostrzeżenia. Niestety pozornie drobne błędy w działaniu interfejsu Gmaila mogą sprawić, że phishing stanie się odrobinę łatwiejszy.

Maile otrzymane wśród wysłanych

W ubiegłym tygodniu deweloper Tim Cotten opisał interesujący problem. Zgłosił się do niego pracownik, który przeszukiwał swoją skrzynkę z opcją “in:sent” i z przerażeniem odkrył e-maile, których sam nie wysyłał. Mogło się wydawać, że ktoś włamał się na pocztę tego pracownika by rozesłać e-maile, ale w rzeczywistości było inaczej. Te e-maile nie były wysłane tylko otrzymane!

Analiza nagłówków pokazała, że we wspomnianych e-mailach w polu From: umieszczono e-mail odbiorcy. Czyli tam gdzie zazwyczaj widzimy nazwisko (np. Jan Kowalski) znajdował się adres osoby, która e-maila miała otrzymać (np. odbiorca@odbiorca.com). Tak przygotowana wiadomość była widoczna w wiadomościach wysłanych. Najwyraźniej Gmail sortuje te wiadomości na podstawie tego co widzi

Mały problem?

Sprawdziliśmy to u siebie i rzeczywiście zadziałało, a problem był opisany przez Cottena 14 listopada. E-mail widoczny na zrzucie poniżej był e-mailem otrzymanym, nie wysłanym. Świadczy o tym nawet etykieta “odebrane”, na którą nie zawsze zwraca się uwagę.

Na pierwszy rzut oka nie wydaje się to dużym problemem, ale przecież pracownik, który zgłosił się do Tima Cottena był naprawdę zdezorientowany. Uwierzył, że e-maile zostały wysłane z jego skrzynki. Można więc wyobrazić sobie socjotechnikę polegającą na tym, że najpierw wysyłamy do ofiary e-mail z jakimś linkiem i ten mail będzie widoczny w “Wysłanych”. Później wmawiamy osobie, że mamy kontrolę nad jej skrzynką, bo potrafimy z niej wysyłać e-maile i niech sama to sprawdzi, że ma w wysłanych wiadomość, której treść znamy.

To oczywiście drobny problem, ale jest jeszcze coś…

Większy problem: brak informacji o nadawcy

17 listopada deweloper opisał błąd, który pozwala na całkowite ukrycie nadawcy e-maila w interfejsie Gmaila.

Po wykryciu problemu opisanego powyżej Cotten robił różne ekspewrymenty. Próbował wstawiać w pole From: najróżniejsze rzeczy, włącznie z tagami <object>, <script> albo <img>. Próba z tagiem <img> zakończyła się uzyskaniem ciekawego efektu.

E-mail na skrzynce odbiorcy nie miał żadnej informacji o nadawcy. Tej informacji nie było też na liście e-maili w widoku skrzynki odbiorczej. Czy to poważny problem? Raczej tak, bo gdyby ktoś zobaczył taki e-mail…

…mógłby uwierzyć, że wiadomość jest jakimś powiadomieniem od samego dostawcy poczty. Gdyby ktoś kliknął “Odpowiedz” to również nie zobaczy nazwy nadawcy w charakterze odbiorcy odpowiedzi. To bardzo niebezpieczne.

Od razu mówimy, że analiza nagłówków wykazałaby oszustwo, ale nie każdy analizuje nagłówki i oszuści dobrze to wiedzą. W tym przypadku nawet osoba świadoma technologicznie mogłaby dać się nabrać.

Tim Cotten uzyskał efekt niewidocznego nadawcy umieszczając w polu From: znacznik <img>. Zwróćcie uwagę na literówkę, która w niczym nie przeszkodziła.

Problem został zgłoszony do Google. Zwróciliśmy się do biura prasowego Google z dodatkowymi pytaniami, ale jak dotąc nie otrzymaliśmy odpowiedzi (i nie wiemy czy otrzymamy, bo to biuro prasowe odpowiada wybiórczo).

Boje się phishingu. Co robić? Jak żyć?

Już sam strach przed phishingiem jest czymś dobrym :), bo świadczy o swojego rodzaju świadomości problemu. Jednak wcale nie polecimy Ci dogłębnej analizy nagłówków albo nieodbiereania e-maili do czasu rozwiazania problemu. Po prostu nigdy nie klikaj w linki w e-mailach, które zachęcają Cię do zalogowania się na jakieś konto. Korzystaj też z logowania dwuskładnikowego tam gdzie to możliwe, lecz pamiętaj, że 2FA nie chroni przed phishingiem tylko nieco go utrudnia. Dopiero U2F robi robotę.

Warto też pamiętać, że nawet bezpieczny i sprawdzony dostawca poczty, aktywnie walczący z problemem phishingu (czyli taki jak Google), nie gwarantuje braku błędów ułatwiających phishing. W tym przypadku problem dotyczy interfejsu usługi, ale interfejs ma ogromny wpływ na to jak analizujemy informację, która jest nam wyświetlana. Mimo tego, poczta Google należy do najbezpieczniejszych i najlepiej przemyślanych pod kątem ochrony użytkownika. I jak najbardziej warto z niej korzystać.

Przeczytaj także: