Фишинг с использованием данных из VK/FaceBook

от автора

Буквально сегодня опубликовали пост о фишинге Gmail и в одном из комментариев @Chickey написал

Да я и сам с таким сталкивался (чуть позже добавлю скрин).

Собственно первое, что я подумал, неужели API VK просто дописывает через JS свои блоки? Из этого блока вытаскиваются нужные данные и подставляются в форму фишинга? Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК?.. Бред (хотя, первое, что я подумал, неужели мой аккаунт увели?).

Сразу же проинспектировал подобные элементы, посмотрел, там кроссдоменный iframe. Через JS мы не можем получить данные фрейма, так как столкнемся с Same Origin Policy.

Пока размышлял, решил загрузить фишинговую страничку через ctrl + shift + N и в итоге получил не свою страничку, а кривую-косую форму авторизации в ВК. Значит, фишинг-страничка при помощи CSS просто рисует поверх свои блоки, которые частично перекрывают виджеты/формы авторизации ВКонтакте.

За несколько минут криво-косо накидал подобные PoC фишинга:

Собственно, что и требовалось доказать.
Так что не переживайте, если увидите данные своих аккаунтов на каком-нибудь баннере. Это не баг, это фича ©

ссылка на оригинал статьи http://habrahabr.ru/post/167873/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *