image

Nieuwe phishingaanval gebruikt truc met data-URL

woensdag 2 juli 2014, 10:59 door Redactie, 7 reacties

Cybercriminelen gebruiken een redelijk nieuwe tactiek voor het uitvoeren van phishingaanvallen, namelijk het gebruik van de data-URL in de adresbalk. Daardoor krijgen internetgebruikers als ze op een link in een phishingmail klikken geen domeinnaam in de adresbalk te zien, maar alleen data: URL.

De aanval werd door e-mailaanbieder FastMail opgemerkt. Het ging om een phishingbericht dat vanaf een gekaapt Gmail-account was verstuurd en stelde dat de bankrekening van de ontvanger zou worden geblokkeerd, tenzij hij op de meegestuurde link klikte. Het ging om een verkorte link die naar een gekaapte website wees.

De pagina waar de gebruiker op uitkwam bevatte geen HTML-phishingpagina, maar JavaScript. Deze JavaScript geeft een phishingformulier weer, maar laat in de adresbalk alleen data: URL zien. "Deze aanpak is interessant, omdat het het onmogelijk maakt om deze pagina bij Firefox als een phishingpagina te rapporteren, omdat Firefox denkt dat het een data: URL is", zegt Rob Mueller van FastMail.

Het probleem dat Firefox-gebruikers deze phishingsites niet kunnen rapporteren is inmiddels bij Mozilla gemeld. Onlangs werden ook Chrome-gebruikers het doelwit van een phishingaanval die de data: URL gebruikte.

Reacties (7)
02-07-2014, 11:58 door Anoniem
Data: URL - Warning in Firefox met NoScript

NoScript

javascript: and data: URLs typed or pasted in the address bar are disabled to prevent social engineering attacks.
Developers can enable them for testing purposes by toggling the "noscript.allowURLBarJS" preference

NoScript dus.
02-07-2014, 11:59 door Anoniem
Heel slim. En wat als je nou een emailprogramma pakt dat geen HTML weergeeft? Dan is in ieder geval gelijk zichtbaar dat er rare dingen aan de hand zijn met dat oh-zo-hulpvaardige linkje, en dus beter niet op klikken.

IMO is het maar zoveel mogelijk de eindgebruiker niet willen vertellen wat er nou eigenlijk aan de hand is wat redelijk veel openingen voor dit soort ongein opengelaten, zelfs geschapen heeft.
02-07-2014, 12:40 door Anoniem
Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...
02-07-2014, 13:18 door [Account Verwijderd] - Bijgewerkt: 02-07-2014, 13:18
[Verwijderd]
02-07-2014, 16:12 door SynC
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
02-07-2014, 16:31 door Anoniem
Door SynC:
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een URI is een Uniform Resource Identifier. Het identifien van een resource kan op verschillende manieren.

Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.

Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.

Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,

DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).

Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.
02-07-2014, 21:07 door SynC - Bijgewerkt: 02-07-2014, 21:10
Door Anoniem:
Door SynC:
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een URI is een Uniform Resource Identifier. Het identifien van een resource kan op verschillende manieren.

Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.

Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.

Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,

DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).

Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.

Nee hoor, er is toch geen sprake van een URI of URL in dit bericht? Het gaat hier om code die direct geïnterpreteerd wordt door de browser. De link in de mail is inderdaad een URL bestaande uit meerdere URI's, maar de 'data URL' waarover gesproken wordt is:

<script type="text/javascript">
window.location="data:text/html;base64,... base64 encoded version of HTML phishing login page ...";
</script>

Dat de browser denkt dat het een URL/URI is, prima, maar als er 'alert('1')' stond, was het ook geen URL/URI geweest.

Voor meer informatie kan je hier lezen wat een URI inhoudt: http://tools.ietf.org/html/rfc3986
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.