A Google hivatalos blogján megjelentetett posztban értekezik a GMail fiókok biztonságossá tételéről, illetve érintetlenségük ellenőrzési lehetőségeiről, mindezt annak apropóján, hogy célzott adathalász támadásokkal átvették az irányítást néhány száz amerikai és dél-koreai kormányhivatalnok, valamint több politikai aktivista postafiókja felett. Nem fogjátok kitalálni, a rosszindulatú üzenetek forrása a Föld legnépesebb országa...

A történet számomra két szempontból is igen érdekes: egyrészt a legutóbbi hasonló esetre hivatkozva szüntette meg a Google a találati listák cenzúráját Kínában. Másrészt a contagio blog - amire a hivatalos Google közlemény is hivatkozik - remek betekintést ad az akció részleteibe:

Az adathalász e-mailek a szokásos módon, hamisított feladóval landoltak a célpontok postaládáiban, a tartalom pedig úgy volt felépítve, mintha a levelező kliens csatolmány ablaka is megjelenne az üzenet mellett. Ebben az álablakban elhelyezett linkek mutattak hamisított GMail belépő oldalakra.

Amennyiben a felhasználó bedőlt a trükknek, a megszerzett jelszóval a támadók okosan bántak: legagresszívebb esetben néhány szűrő, illetve hozzáférés beállítások megadásával "bepoloskázták" a fiókot, de sok esetben egyszerűen csak a közeli kollegákról, családtagokról, folyó ügyekről tájékozódtak, az így megszerzett információt pedig újabb adathalász e-mailekben használták fel. Az így előállított üzenetek már a személyekhez szorosan köthető információkat tartalmaztak, növelve a hitelesség látszatát.

Maga az adathalász weboldal sem tömegtermék volt: a célpont azonosítója bedrótozva szerepelt a számára egyedileg generált oldalon. Egy szkript ezen kívül arra is vette a fáradtságot, hogy sima JavaScript segítségével detektálja a látogató gépére telepített biztonsági szoftvereket és böngésző kiegészítőket. Arra sajnos nem tér ki az elemzés, hogy ezekre miért volt szükség.

Hölgyeim és Uraim, így néz ki ma egy politikailag motivált adathalász támadás! A módszer alapvetően a régi, de az ördög most is a részletekben rejtőzik!