gmail phishing with google docs
Tags: phishing gmailPosted in Phishing on 六月 19th, 2010 by ihysia –1 Comment Read 1771 times
我曾在这里提过“一种新颖的攻击模式”,一忙又过了快两个月了,现在将这种钓鱼模式公开。一年前的“谷歌开发者日2009”后,google采用google docs spreadsheets的形式发送一份关于google wave的调查,我估计着当时很多人都关注这个大会,并且很多IT人士关注着wave,于是思考着如何黑了一些人:)
我的目的就是得到gmail密码,毫不隐晦,就看你给不给。
准备工作
注册一个gmail账号,专门用于钓鱼,账号名:gwavegroups@gmail.com。
开始制作一个与google官方发送的“google wave”调查非常相似的spreadsheets(其实就是一种form表单),全英文,看截图:
图一:
我这个spreadsheet与google官方发的不一样之处就是:我这个会索要你的密码。
注意:spreadsheets是google docs的一种服务,是一种表单形式,经常被用来做在线调查,所以这个钓鱼的域属于google,上面截图的地址像这样:https://spreadsheets.google.com/viewform?formkey=clowQVNxdk1iR2Y3R3BRM2FnLUSSDDjxD
开始攻击
准备好后,我就要用gwavegroups@gmail.com去发送邀请了,信件原文如下:
Again. Thanks for your interest in the Google Wave developer sandbox! Please fill out the form below and we'll contact you after 24 hours. We need to confirm your Account on wave. The wave account will be binded to your google account. Please set the password same to your current google account. I've invited you to fill out the form Google Wave Sandbox Account Confirm. To fill it out, visit: https://spreadsheets.google.com/viewform?formkey=clowQVNxdk1iR2Y3R3BRM2FnLUSSDDjxD
恩,效果不错,钓了圈内好些人的密码:),当你填写了上面的表单后,spreadsheet会将填写的内容发送到我的google docs管理后台,如下:
图二:
攻击思想
乘东风,用自己的服务攻击自己。按照G的说法就是:以子之矛攻子之盾。
其实这样的攻击模式在web2.0/mashup漫天的web世界里很容易找到共通点,攻击本身没任何技术含量,但是带来的危害并不小,值得注意啊。
放太久了,都没人意识到危险性