Her er hvordan hackere bruger Google Firebase Storage URLs til at svindle folk
For cyberkriminelle er handlingen med at stjæle brugeres loginoplysninger eller inficere dem med malware intet andet end forretning, og som enhver virksomhed præsenterer den sit eget sæt udfordringer. Hackere forsøger konstant at optimere deres ulovlige handlinger og gøre dem mere effektive. I et forsøg på at gøre det begyndte phishing-besætninger at bruge Google Firebase URL-adresser i nylige kampagner observeret af forskere fra Trustwave.
Table of Contents
Phishere misbruger Googles Firebase-platform for at høste loginoplysninger
Firebase er en udviklingsplatform til mobil- og webapplikationer, der blev købt af Google i 2014, og den er nu direkte knyttet til søgemaskigigantens massive skylagringsinfrastruktur. Skurkerne indså, at dette gør det perfekt til opbevaring af phishing-sider.
Ifølge Trustwaves forskere har phisherne forudsporet et antal forskellige tjenesteudbydere og har skabt et antal scenarier i deres e-mails. Målet er dog altid det samme - narre brugerne til at klikke på et link i e-mailen og føre dem til en phishing-side, der er vært på Firebase.
Overbevisende e-mails kan fange mange brugere væk
Phisherne har lagt en stor indsats i e-mails. En af de første ting, du kan bemærke fra eksemplerne, som Trustwave har lagt ud, er den tydelige mangel på grammatiske og stavefejl, som vi ofte forbinder med phishing-kampagner. Som forskerne påpegede, er skrifttyperne og formateringen ikke perfekte nogle steder, men skurkerne håber tilsyneladende, at deres socialtekniske tricks vil være stærke nok til at kompensere for dette.
Nogle af scenarierne er faktisk ganske troværdige. Som vi allerede nævnte, efterligger phisherne ikke en enkelt tjenesteudbyder, og de er ikke målrettet mod et enkelt sæt brugere. Når det er sagt, ser de fleste e-mails ud til at være rettet mod ansatte i organisationer i forskellige størrelser.
Microsofts navn bruges ganske udstrakt i alle kampagner. I nogle af angrebene prøver skurkerne at overbevise brugeren om, at nogle e-mails ikke er blevet leveret på grund af en servermigrering. I andre får offeret at vide, at visse indgående meddelelser muligvis er blevet markeret som spam fejlagtigt og bør gennemgås. I endnu en kampagne opfordres brugeren til at opgradere deres konto, så de kan bruge en ny version af webmailportalen.
Coronavirus-pandemien er også blevet brugt. Et af Trustwaves skærmbilleder viser, at skurkerne forsøger at efterligne bogholderne for offerets arbejdsgiver. Brugeren får at vide, at de skal udfylde en betalingsformular for at modtage en udestående betaling relateret til direktivet om arbejde-fra-hjemmet. Naturligvis ville mange være i stand til at stikke huller gennem scenarierne, som hackerne drømmer om, men det er ikke svært at se, hvor uerfarne og mindre teknisk-brugte brugere kan falde for svindlen.
Hvorfor valgte skurkerne Firebase?
Det bemærkelsesværdige kendetegn ved disse kampagner er ikke social engineering, men brugen af Firebase. Cyberkriminelle er ofte vært for deres phishing-sider på websteder, som de går på kompromis med på forhånd. På den måde behøver de ikke at registrere nye domæner eller overveje at opsætte servere, der vil være vært for de ondsindede loginformularer. Hacking af et websted er dog ikke nødvendigvis let, og ofte er det simpelthen ikke værd at gøre det. Så snart sikkerhedsprodukter registrerer ondsindet aktivitet på det kompromitterede websted, kan hele domænet sortlistes, og hele kampagnen kan ende for tidligt.
Ved at bruge Firebase drager phisherne direkte fordel af Googles skyinfrastruktur og dets omdømme. Det er mindre sandsynligt, at spamfiltre sætter Firebase-URL'er direkte under kontrol, og selv hvis en side bliver rapporteret og fjernet, kan skurkerne oprette en anden med relativt lethed.
Alt i alt ser det ud til, at cyberkriminelle har fundet en ny måde at gøre deres angreb mere strømlinede og effektive, og det er op til Google at modvirke. At holde kriminelle væk fra dets platforme er ikke noget nyt for søgemaskinens kolossus. Dets eksperter er dog nu nødt til at fokusere på Firebase.
