Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением,  пользователь инициирует переадресацию на фишинговую страницу.

Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google.  На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.

Данный метод атак известен экспертам уже несколько месяцев, но лишь недавно злоумышленники стали захватывать скомпрометированные аккаунты практически моментально. Пока не совсем ясно, автоматизирован этот процесс, или преступники просто очень оперативно реагируют на получение новых учетных данных.Похоже, атакующие действуют вручную, так как в одном случае школьный системный администратор рассказал, что хакеры взяли за основу фишинговых посланий легитимные письма из почтового ящика жертвы.

Подробный анализ данной схемы атак был опубликован Марком Маундером (Mark Maunder), главой и основателем компании Wordfence. Он предупреждает, что данная техника имеет очень большой процент поражения целей. Эксперт рекомендует включать двухфакторную аутентификацию и сохранять бдительность, внимательно проверяя URL в адресной строке.

При входе в любой сервис, проверьте адресную строку браузера,  протокол, затем проверьте имя хоста. Так должна выглядеть адресная строка в Chrome при входе в Gmail или Google:

Gmail фишинг безопасный пример URI

Убедитесь , что нет ничего перед именем хоста ‘accounts.google.com’ кроме ‘https: //’ и символа замка.