Google ( gmail) социальная инженерия

Discussion in 'Этичный хакинг или пентестинг' started by PapaRed, 30 Jan 2019.

  1. PapaRed

    PapaRed Moderator

    Joined:
    30 Jun 2010
    Messages:
    23
    Likes Received:
    60
    Reputations:
    26
    Социальная инженерия и поддержка Google в действии:


    В гугл был сдан баг, который позволяет совершать атаку типа социальной инженерии основанной на многих совпадениях которые помогают сделать атаку достаточно успешной.
    В интернетах ходили слухи ещё давно о том,что есть тема с фейковыми гугл формами, но конкретики никогда небыло. Вот конкретика в действии:

    goo.gl редирект на любой сайт → Evilsite.com или фейк письмо → Деаунтефикация с Google → Стандартаня форма входа → Смотрите в браузер - всё хорошо → Ввели данные - Вас снова закинуло на форму → Злитесь, но вводите ещё раз на домене Google → Вас закидывает обратно → Вы подарили свои данные.

    Баг был сдан по Баунти программе в Google и точный текст баги описан ниже:

    Steps to reproduce:

    1. X-Frame-Options (allows to iframe next url)

    2. https://mail.google.com/mail/u/0/?ui=&ik=64411c67&jsver=UpvwBf_7018.ru.&view=om&th=15fa48c10f45e439 ( forces to logout)


    3. After we make death we make Redirection to auth into google account which makes redirection to google form which does not ask for permission https://accounts.google.com/signin/...=1209600&continue=https://docs.google.com/for ms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform#?gmail.com&followup=https%3A %2F%2Fdocs.google.com%2Fforms%2Fd%2F1zTt-nSYom-9sIEFeKW1QMHfdMDx6PwYzbKpkmKmmf2k%2Fedit%3Fusp% 3Dsharing#https://gmail.com&ltmpl=forms&flowName=GlifWebSignIn&flowEntry=ServiceLogin

    4.https://docs.google.com/forms/d/e/1FAIpQLSeScP-SSRCuHdJcXJ_ajX9opBbbQQVxdlDzZNf2PTlPK0Yr_Q/viewform google form which looks very similar to gmail login page
    Scenario attack: -> -> Browser/OS: Chrome/Firefox . Windows, Linux.


    Детали выложены на GitHub вместе с видео, можно посмотреть.
    https://github.com/vulnz/fail-gmail
    Репозиторий не слишком новый, но тему нужно поднять и обсудить.

    Также стоит обратить внимание на:

    [​IMG]

    Эта информация показывает,что Google НЕ заинтересован в защите от социальной инженерии своих клиентов, почему? Неизвестно.
     
    #1 PapaRed, 30 Jan 2019
    Last edited: 30 Jan 2019
    hote999 and BenderMR like this.