כבר ראינו במשך השנים לא מעט ניסיונות לגרום לאנשים למסור שמות משתמש וסיסמאות להאקרים באמצעות התחזות - אבל זו כנראה המזימה המתוחכמת ביותר בתחום אי פעם, עד כדי כך שמומחי אבטחה מודים שאפילו הם בקושי מצליחים לזהות אותה.
הדרך החדשה שההאקרים מצאו להפיל גם גולשים מביני עניין מורכבת מכמה שלבים:
1. משתלטים על חשבון ג'ימייל של אדם אמיתי;
2. מחטטים לו במיילים ומחפשים הודעות ששלח עם קבצים מצורפים;
3. עושים צילום מסך של הקובץ המצורף כפי שג'ימייל מציג אותו;
4. שולחים את אותה הודעה, עם הנושא והטקסט שנכתבו על ידי האדם האמיתי, לחברים - אך הפעם, במקום הקובץ המצורף נמצאת בתחתית המייל תמונה של איך שנראה הקישור של גוגל לקובץ המצורף;
5. הנמען מקבל את ההודעה, לוחץ על מה שנראה כקובץ מצורף ומופנה למה שנראה כעמוד הכניסה לגוגל-דרייב (או דוקס);
6. הנמען ממלא את פרטי החשבון שלו - והם נשלחים להאקרים שמייד משתמשים בהם כדי להתחיל את המעגל מהתחלה עם החשבון החדש.
מומחה הטכנולוגיה הבריטי טום סקוט, שהיה בין אלה שכמעט נפלו בפח, צייץ כי "זה הכי קרוב שהגעתי אי פעם לנפילה במתקפת דיג (פישינג) בג'ימייל. זה מתוחכם ברמה מטרידה". בתמונה של העמוד אליו הוא הופנה עם הלחיצה על "הקובץ המצורף" הוא הסביר כמה מחשבה השקיעו ההאקרים כדי שהכל ייראה לגיטימי:
This is disturbingly clever. You get sent to a text/html data URI! Not testing any further but, blimey, talk about using power for evil. pic.twitter.com/TamVn7DBfW
— Tom Scott (@tomscott) December 23, 2016
כפי שאפשר לראות בתרשים שלו, העמוד עצמו הוא העתקה מושלמת מעמוד הכניסה של גוגל. גם בשורת הכתובות של הדפדפן מוצגת הכתובת האמיתית של גוגל - אלא שאם מסתכלים שוב רואים שהיא מוצגת אחרי הרצף "data:text/html", שהוא תחילת פקודה שאומרת לדפדפן להציג את הכתובת האמיתית. אחריה מיקמו ההאקרים רווח ארוך כדי שהמשך הפקודה, שמכילה את הכתובת האמיתית אליה יישלחו פרטי החשבון מהטופס, יידחק אל מחוץ למה שמוצג למשתמשים בגודל מסך סטנדרטי. רק במסכים איכותיים במיוחד או בהגדרת גודל טקסט קטן במיוחד ניתן יהיה לשים לב לפקודה שמתחילה בסוגריים משולשים ובהם המילה script.
הגיימר האוסטרלי כריסטופר פולוק, שהגיב לציוץ של סקוט, כתב כי "זה ללא ספק הדיג הטוב ביותר שראיתי אי פעם".
אז מה עושים אם אפילו המומחים מתקשים לזהות את התרמית? מקדישים יותר תשומת לב:
ראשית, במייל המתקבל ניתן לראות שה"קובץ המצורף" לא משתנה כשמצביעים עליו. זאת בניגוד למצב הרגיל בג'ימייל, בו מעבר עכבר על הפריט משנה את צורת התצוגה שלו, ומעבר עכבר על כפתורי ההורדה גורם להם להתכהות;
בנוסף, בעמוד הכניסה לשירות אליו מופנים לאחר הלחיצה ניתן להבחין בכמה סימנים. הראשון הוא העובדה שהכתובת אינה מתחילה ב-//:https, אלא ב-data:text/html ורק אחר כך הפתיח הרגיל; השני הוא העובדה שהאייקון בתחילת שורת הכתובות לא הופך למנעול ירוק - רק עמודים עם מנעול ירוק מאובטחים ושייכים לחברות אמיתיות שמותר להקליד אצלן שמות משתמש וסיסמאות (לפחות בדרך כלל); השלישי, למי שמשתמש בגרסה העדכנית של כרום, הוא אזהרה חדשה של גוגל, שמוצגת גם היא בקצה שורת הכתובות בדמות שלט אזהרה כתום או אדום שמזהיר כי הדפדפן חושד שהאתר מזויף, מכיוון שהוא דורש הזנת פרטים בטופס בלתי מוצפן. הקדשת תשומת לב לאזהרות הללו יכולה לחסוך הרבה עוגמת נפש.