Nieuwe phishingaanval gebruikt truc met data-URL
Cybercriminelen gebruiken een redelijk nieuwe tactiek voor het uitvoeren van phishingaanvallen, namelijk het gebruik van de data-URL in de adresbalk. Daardoor krijgen internetgebruikers als ze op een link in een phishingmail klikken geen domeinnaam in de adresbalk te zien, maar alleen data: URL.
De aanval werd door e-mailaanbieder FastMail opgemerkt. Het ging om een phishingbericht dat vanaf een gekaapt Gmail-account was verstuurd en stelde dat de bankrekening van de ontvanger zou worden geblokkeerd, tenzij hij op de meegestuurde link klikte. Het ging om een verkorte link die naar een gekaapte website wees.
De pagina waar de gebruiker op uitkwam bevatte geen HTML-phishingpagina, maar JavaScript. Deze JavaScript geeft een phishingformulier weer, maar laat in de adresbalk alleen data: URL zien. "Deze aanpak is interessant, omdat het het onmogelijk maakt om deze pagina bij Firefox als een phishingpagina te rapporteren, omdat Firefox denkt dat het een data: URL is", zegt Rob Mueller van FastMail.
Het probleem dat Firefox-gebruikers deze phishingsites niet kunnen rapporteren is inmiddels bij Mozilla gemeld. Onlangs werden ook Chrome-gebruikers het doelwit van een phishingaanval die de data: URL gebruikte.
javascript: and data: URLs typed or pasted in the address bar are disabled to prevent social engineering attacks.
Developers can enable them for testing purposes by toggling the "noscript.allowURLBarJS" preference
NoScript dus.
IMO is het maar zoveel mogelijk de eindgebruiker niet willen vertellen wat er nou eigenlijk aan de hand is wat redelijk veel openingen voor dit soort ongein opengelaten, zelfs geschapen heeft.
Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.
Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.
Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,
DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).
Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.
Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.
Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.
Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,
DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).
Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.
Nee hoor, er is toch geen sprake van een URI of URL in dit bericht? Het gaat hier om code die direct geïnterpreteerd wordt door de browser. De link in de mail is inderdaad een URL bestaande uit meerdere URI's, maar de 'data URL' waarover gesproken wordt is:
<script type="text/javascript">
window.location="data:text/html;base64,... base64 encoded version of HTML phishing login page ...";
</script>
Dat de browser denkt dat het een URL/URI is, prima, maar als er 'alert('1')' stond, was het ook geen URL/URI geweest.
Voor meer informatie kan je hier lezen wat een URI inhoudt: http://tools.ietf.org/html/rfc3986
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?