So verwenden Hacker Google Firebase-Speicher-URLs, um Personen zu betrügen
Für Cyberkriminelle ist das Stehlen der Anmeldeinformationen von Benutzern oder das Infizieren mit Malware nichts anderes als ein Geschäft und stellt wie jedes Unternehmen seine eigenen Herausforderungen. Hacker versuchen ständig, ihre illegalen Operationen zu optimieren und effektiver zu machen. Um dies zu erreichen, haben Phishing- Teams in den letzten von Forschern von Trustwave beobachteten Kampagnen begonnen, Google Firebase-URLs zu verwenden.
Table of Contents
Phisher missbrauchen die Firebase-Plattform von Google, um Anmeldeinformationen zu sammeln
Firebase ist eine Entwicklungsplattform für Mobil- und Webanwendungen, die 2014 von Google übernommen wurde und jetzt direkt mit der riesigen Cloud-Speicherinfrastruktur des Suchmaschinenriesen verbunden ist. Die Gauner erkannten, dass dies perfekt zum Speichern von Phishing-Seiten geeignet ist.
Laut den Forschern von Trustwave haben sich die Phisher als verschiedene Dienstanbieter ausgegeben und in ihren E-Mails eine Reihe von Szenarien erstellt. Das Ziel ist jedoch immer dasselbe: Benutzer dazu zu bringen, auf einen Link in der E-Mail zu klicken und sie zu einer Phishing-Seite zu führen, die auf Firebase gehostet wird.
Überzeugende E-Mails können viele Benutzer überraschen
Die Phisher haben viel Mühe in die E-Mails gesteckt. Eines der ersten Dinge, die Sie an den von Trustwave veröffentlichten Beispielen erkennen können, ist das deutliche Fehlen von Grammatik- und Rechtschreibfehlern, die wir häufig mit Phishing-Kampagnen in Verbindung bringen. Wie die Forscher betonten, sind die Schriftarten und Formatierungen an einigen Stellen nicht perfekt, aber die Gauner hoffen anscheinend, dass ihre Social-Engineering-Tricks stark genug sind, um dies auszugleichen.
In der Tat sind einige der Szenarien durchaus glaubwürdig. Wie bereits erwähnt, geben sich die Phisher nicht als ein einziger Dienstanbieter aus und richten sich nicht an eine einzelne Gruppe von Benutzern. Abgesehen davon scheint die Mehrheit der E-Mails an Mitarbeiter von Organisationen unterschiedlicher Größe gerichtet zu sein.
Der Name von Microsoft wird in den Kampagnen häufig verwendet. Bei einigen Angriffen versuchen die Gauner, den Benutzer davon zu überzeugen, dass einige E-Mails aufgrund einer Servermigration nicht zugestellt wurden. In anderen Fällen wird dem Opfer mitgeteilt, dass bestimmte eingehende Nachrichten möglicherweise fälschlicherweise als Spam gekennzeichnet wurden und überprüft werden sollten. In einer weiteren Kampagne wird der Benutzer aufgefordert, sein Konto zu aktualisieren, damit er eine neue Version des Webmail-Portals verwenden kann.
Die Coronavirus-Pandemie wurde ebenfalls angewendet. Einer der Screenshots von Trustwave zeigt, dass die Gauner versuchen, sich als Buchhalter des Arbeitgebers des Opfers auszugeben. Dem Benutzer wird mitgeteilt, dass er ein Zahlungsformular ausfüllen muss, um eine ausstehende Zahlung im Zusammenhang mit der Work-from-Home-Richtlinie zu erhalten. Natürlich könnten viele Löcher in die von den Hackern erdachten Szenarien stechen, aber es ist nicht schwer zu erkennen, wie unerfahrene und weniger technisch versierte Benutzer auf den Betrug hereinfallen könnten.
Warum haben sich die Gauner für Firebase entschieden?
Das bemerkenswerte Merkmal dieser Kampagnen ist jedoch nicht das Social Engineering, sondern die Verwendung von Firebase. Cyberkriminelle hosten ihre Phishing-Seiten häufig auf Websites, die sie zuvor kompromittiert haben. Auf diese Weise müssen sie keine neuen Domänen registrieren oder über die Einrichtung von Servern nachdenken, auf denen die schädlichen Anmeldeformulare gehostet werden. Das Hacken einer Website ist jedoch nicht unbedingt einfach, und oft lohnt sich die Mühe einfach nicht. Sobald Sicherheitsprodukte böswillige Aktivitäten auf der gefährdeten Website erkennen, kann die gesamte Domain auf die schwarze Liste gesetzt werden und die gesamte Kampagne kann vorzeitig beendet werden.
Durch die Verwendung von Firebase nutzen die Phisher die Cloud-Infrastruktur und den Ruf von Google direkt. Es ist weniger wahrscheinlich, dass die Spam-Filter Firebase-URLs direkt überprüfen, und selbst wenn eine Seite gemeldet und entfernt wird, können die Gauner relativ einfach eine andere einrichten.
Alles in allem scheinen die Cyberkriminellen einen neuen Weg gefunden zu haben, um ihre Angriffe rationaler und effektiver zu gestalten, und es liegt an Google, dem entgegenzuwirken. Kriminelle von ihren Plattformen fernzuhalten, ist für den Suchmaschinenkoloss nichts Neues. Die Experten müssen sich jetzt jedoch auch auf Firebase konzentrieren.