Je Gmail vašou hlavnou emailovou službou? Ak máte radi Android a používate prevažne služby Google, je dosť veľká šanca, že áno. Ako server Živé informoval, treba si dávať extrémny pozor na to, ako a hlavne kde sa doň prihlasujete.
Čo je ale phishing? Podľa Wikipedie je phishing (z angl. password fishing – rybolov hesiel) činnosť, pri ktorej sa podvodník snaží vylákať od používateľov rôzne heslá, napr. k bankovému účtu. Väčšinou prebieha tak, že sa založí webstránka, ktorá vyzerá ako presná kópia už existujúcej dôveryhodnej stránky, alebo ponúka nejaké výhody po prihlásení cez ich webstránku. Meno a heslo zadané do phishingovej stránky sa odošlú podvodníkovi, ktorý ich môže zneužiť.
Toto sa už väčšina z nás naučila rozpoznávať. Stačí sa pozrieť na URL adresu, ak nesedí, svoje údaje tam nebudem zadávať. Nová forma phishingu však hrozbu posúva na úplne inú úroveň. Do hry totiž prichádza schéma data URI.
Čo je schéma data URI?
Schéma data URI (Uniform Resource identifier) ponúka možnosť, ako do webstránok zaradiť kód tak, akoby bol načítavaný z externého zdroja. Vďaka tomu administrátorom umožňuje napríklad načítanie obrázkov a naštýlovania webu v jednej HTTP požiadavke.
Bohužiaľ, tento trik sa dá použiť aj na vtesnanie celého kódu do adresy URL, čo môže vyústiť v načítanie obsahu z iného servera (v tomto prípade presnej kópie Gmailu).
Trik, ktorý môžete vidieť na screenshote nižšie funguje tak, že medzi adresu URL a začiatok scriptu (kódu, ktorý načítava podvodnú webstránku) podvodník jednoducho umiestnil dosť medzier na to, aby ste si začiatok škodlivého kódu nevšimli.
Ako sa brániť?
Pri overovaní si webstránky, do ktorej sa môžete prihlásiť si preto treba všímať nielen adresu, ale aj overenie HTTPS. Ak je webová stránka zabezpečená (prihlasovanie do Gmailu takto zabezpečené je), riadok s URL sa vyfarbí na zeleno, poprípade sa pred ním zobrazí ikonka zamknutého zámku.