- InformNapalm - https://informnapalm.org -

Защита от кражи пароля от учетной записи GMail через фишинговые письма

В последние недели в сети Internet набирает обороты мошенническая кампания по распространению фишинговых [1] писем с целью получения злоумышленниками доступа к учетной записи Google. Злоумышленники рассылают электронные письма якобы от имени Google, в которых предупреждают о попытках взлома учетной записи и настойчиво рекомендуют сменить пароль.

Специалисты команды InformNapalm также столкнулись с подобными письмами. Так как непрофессионалу бывает трудно отличить настоящее письмо от поддельного, мы хотели бы дать несколько советов, которые помогут не попасться на удочку к мошенникам.

Итак, если вам пришло письмо от Google с говорящей темой «Заблоковано підозрілий вхід»,  «Ви повинні негайно змінити пароль» или что-то в этом духе с предложением изменить пароль, включить двухэтапную аутентификацию или вообще что-то изменить в настройках учётной записи, не спешите переходить по ссылкам. Сначала убедитесь, что письмо пришло действительно от Google.

Внимательность и трезвый ум прежде всего! Злоумышленники делают ставку на то, что жертва, увидев письмо, в котором идёт речь о безопасности её учётной записи, сразу же перейдёт по ссылке в письме, ничего не проверяя. Если жертва так и поступит, то с большой вероятностью имя и пароль от учётной записи утекут к злоумышленникам, которые получат к ней полный доступ.

Так на что же следует обратить внимание?

1. Язык письма. Google присылает письма, касающиеся учётной записи, на языке интерфейса этой записи. То есть если у вас интерфейс на украинском языке, а письмо пришло на русском [2], это серьёзный повод задуматься.

2. Отправитель письма. Все письма, касающиеся учетной записи Google, приходят с адреса [email protected] и только с него — никаких [email protected], [email protected] и т.д.

Phishing Sample 1 [3]

Phishing Sample 2 [4]

Phishing Sample 3 [5]

3. Прежде чем переходить по ссылке в письме, обратите внимание на адрес перехода. Наведите курсор на кнопку и посмотрите на строку состояния браузера: там отобразится адрес.

Например, если ссылка имеет вид bit.ly/19rlfnn, то переходить по ней не стоит: ссылка должна явно начинаться на https://accounts.google.com/.

Phishing Sample 4 [6]

Ссылка вида bit.ly/1DGh42f#https://accounts.google.com/EditPasswd?continuehttps://myaccount.google.com/settings/&followuphttps://myaccount.google.com/settings — мошенническая, так как начинается на bit.ly.

Ссылка вида accounts.google.com.mediscience.pe/EditPasswd также мошенническая, так как адрес должен начинаться на accounts.google.com/ (то есть после .com должен идти /, а не точка).

4. Если вы перешли по ссылке, то прежде чем вводить пароль, обратите внимание на адрес в адресной строке браузера. Если адрес не начинается с https://accounts.google.com, не вздумайте вводить пароль — таким образом вы своими руками отдадите контроль над своей учётной записью злоумышленнику.

На скриншоте ниже видно, что адрес начинается на account.password-google.com — следовательно, это мошеннический домен [7] (успешно заблокирован [8] специалистами команды InformNapalm).

account.password-google.com [9]

Еще один пример мошеннического домена — accounts.googlesetting.com (в процессе блокировки):
accounts.googlesetting.com [10]

Повторим еще раз: пароль можно вводить только в том случае, если установлено безопасное соединение (рядом с адресом в адресной строке должен быть закрытый замочек) и адрес начинается на https://accounts.google.com.

5. Для продвинутых пользователей: обратите внимание на исходный текст письма:

Просмотр исходного текста письма [11]

На скриншоте приведено фишинговое письмо с кратким (но не претендующим на полноту) анализом нестыковок:

Email source [12]


Если вам всё-таки пришло фишинговое письмо, то лучшее, что вы можете сделать, это сообщить о нём Google:

Report Phishing [13]

Подводя итог: спокойствие и внимательность превыше всего — от этого зависит безопасность вашей учетной записи и сохранность ваших данных.

 

* Проверено редактором.