利用谷歌翻译对Facebook和谷歌用户进行钓鱼攻击

当黑客进行网络钓鱼时，通常会付出很大的努力使他们的钓鱼页面看起来合法，同时会使用有压迫力的语句促使受害者快速填写敏感信息。在这篇文章中，我将描述一起最近针对我的网络钓鱼攻击。这是一个很有趣的攻击，因为它使用谷歌翻译作为媒介，一次瞄准多个帐户。

新年假期后不久，我在手机上收到一封电子邮件通知我，我的谷歌帐户在一台新的Windows电脑有登录动作。由于我不记得我曾这样做过，所以我怀疑这封邮件的真实性，决定仔细检查这封邮件。

我用我的笔记本电脑登录到我的个人Gmail帐户。一看发件人的地址，我就知道这封邮件是钓鱼邮件。有趣的是，在我的手机上，这封邮件在信息缩略的情况下看起来很真实。

随机钓鱼邮件

我是在1月7日收到这封邮件的。它提醒我，我的谷歌帐户在一个新设备有登录动作。虽然从我手机上看，这封邮件好像是合法的，但是在计算机上查看就会发现很多问题。

首先，这个所谓的安全警报来自一个hotmail帐户。其次，整个发送人地址与谷歌无任何关系。发送地址中的“facebook_secur”可能会误让人以为该邮件来自Facebook的安全团队。

这种利用大公司品牌以及“安全警告”这类威胁语句的做法是钓鱼攻击者的最爱，如果收件人没有冷静下来分析邮件的来源，胡乱输入敏感信息就很有可能上当。而最令让我好奇的是，幕后攻击者是谁？

攻击

单击钓鱼页面的“Consult the activity”会进入以下页面：

这貌似是一个谷歌的登录页面。同时你也可以看到一个有趣的现象，攻击者正在通过谷歌翻译来加载恶意域名。

谷歌翻译帮攻击者做了很多事情:它用大量随机文本填充了地址栏，但最重要的是让受害者感觉这是一个合法的google域名。在某些情况下，这种伎俩会迷惑受害者。

然而，虽然这种伪装方法让这个钓鱼网站在手机上看起来很逼真（这个钓鱼登录页面是谷歌旧登录门户近乎完美的克隆），但从计算机上查看时，就会显得很愚蠢。

具体地址如下所示。

如果你再仔细看一下钓鱼页面，你就可以发现谷歌正在翻译“mediacity”这个域的网站。“mediacity.co.in”这个特征应该是很明显了。不少人会意识到这是一个钓鱼页面，然后退出。但也不排除有人会被此欺骗，输入自己的用户名和密码，发送给攻击者，而这也就触发了第二阶段攻击。

第二阶段

一旦受害者的登入凭证被发送给攻击者，就会发生一些有趣的事情。第二阶段钓鱼攻击开始。攻击者不仅想获得受害者的谷歌登录凭证，还试图通过类似的手法获得受害者的Facebook帐户密码。

由于以上谷歌钓鱼页面主要针对移动用户，后续攻击也是如此。值得注意的是，与谷歌网页一样，这个Facebook钓鱼页面也是依照旧版本的Facebook登录页面。这表明攻击者所使用的钓鱼页面制造工具是旧的，很可能早已在各种论坛广泛传播。

综合分析，虽然Facebook钓鱼页面和Google钓鱼页面的域不同，但应该都是通过同一个脚本制造出来的。为了稍微了解下钓鱼代码的样式，以下是类似脚本截图。

在第二阶段的攻击中，由于受害者的谷歌登录凭证已被记录下来并通过电子邮件发送给攻击者，并向受害者发送Facebook钓鱼页面。下面是我模拟的攻击者接收到的受害者信息示例。

攻击者所收到的电子邮件中记录了受害者的用户名和密码以及IP地址和浏览器类型等。当然，通过不同程度的改造，攻击者可以收集更多受害者信息，例如地理位置和不同级别的个人身份信息，这些信息通常会被售卖以及进行其他钓鱼攻击。

虽然这种钓鱼攻击没有很高的技术含量，一旦在计算机上就很容易暴露，但还是有可能有无数人上当受骗，甚至包括IT和安全从业人员。

最好的防守就是进攻。任何人在采取任何行动之前，都需要花点时间仔细检查自己收到信息。发件人地址是否正常？邮件信息是否奇怪？是否要求你填写敏感信息？如果以上全部命中，那这大概率是一个钓鱼攻击。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html