Δείτε πώς οι χάκερ χρησιμοποιούν τις διευθύνσεις URL του Google Firebase Storage για απάτη σε άτομα
Για τους εγκληματίες στον κυβερνοχώρο, η πράξη κλοπής των διαπιστευτηρίων σύνδεσης των χρηστών ή μόλυνσης τους με κακόβουλο λογισμικό δεν είναι τίποτα περισσότερο από την επιχείρηση και, όπως κάθε επιχείρηση, παρουσιάζει το δικό της σύνολο προκλήσεων. Οι χάκερ προσπαθούν συνεχώς να βελτιστοποιούν τις παράνομες ενέργειές τους και να τους κάνουν πιο αποτελεσματικούς. Σε μια προσπάθεια να το κάνει αυτό, τα πληρώματα ηλεκτρονικού "ψαρέματος" ξεκίνησαν να χρησιμοποιούν διευθύνσεις URL του Google Firebase σε πρόσφατες καμπάνιες που παρατηρήθηκαν από ερευνητές του Trustwave.
Table of Contents
Οι phishers κάνουν κατάχρηση της πλατφόρμας Firebase της Google για τη συλλογή διαπιστευτηρίων σύνδεσης
Το Firebase είναι μια πλατφόρμα ανάπτυξης για εφαρμογές για κινητά και ιστούς που αποκτήθηκε από την Google το 2014 και τώρα συνδέεται άμεσα με την τεράστια υποδομή αποθήκευσης cloud του γίγαντα της μηχανής αναζήτησης. Οι απατεώνες συνειδητοποίησαν ότι αυτό το καθιστά ιδανικό για την αποθήκευση σελίδων ηλεκτρονικού ψαρέματος.
Σύμφωνα με τους ερευνητές της Trustwave, οι phishers έχουν πλαστοπροσωπήσει έναν αριθμό διαφορετικών παρόχων υπηρεσιών και έχουν δημιουργήσει πολλά σενάρια στα email τους. Ο στόχος, ωστόσο, είναι πάντα ο ίδιος - εξαπατώντας τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο στο email και να τους οδηγήσουν σε μια σελίδα ηλεκτρονικού ψαρέματος που φιλοξενείται στο Firebase.
Τα πειστικά μηνύματα ηλεκτρονικού ταχυδρομείου μπορούν να προκαλέσουν απροσεξία πολλών χρηστών
Οι ψαράδες έχουν καταβάλει μεγάλη προσπάθεια στα μηνύματα ηλεκτρονικού ταχυδρομείου. Ένα από τα πρώτα πράγματα που μπορείτε να παρατηρήσετε από τα παραδείγματα που δημοσίευσε το Trustwave είναι η διακριτή έλλειψη γραμματικών και ορθογραφικών σφαλμάτων που συχνά συσχετίζουμε με καμπάνιες ηλεκτρονικού ψαρέματος. Όπως επεσήμαναν οι ερευνητές, οι γραμματοσειρές και η μορφοποίηση δεν είναι τέλεια σε ορισμένα μέρη, αλλά οι απατεώνες ελπίζουν προφανώς ότι τα κόλπα κοινωνικής μηχανικής τους θα είναι αρκετά ισχυρά για να αντισταθμίσουν αυτό.
Πράγματι, μερικά από τα σενάρια είναι αρκετά πιστευτά. Όπως αναφέραμε ήδη, οι phishers δεν πλαστοπροσωπούν ούτε έναν πάροχο υπηρεσιών και δεν στοχεύουν σε ένα μόνο σύνολο χρηστών. Τούτου λεχθέντος, η πλειονότητα των email φαίνεται να απευθύνεται σε υπαλλήλους οργανώσεων διαφόρων μεγεθών.
Το όνομα της Microsoft χρησιμοποιείται εκτενώς σε όλες τις καμπάνιες. Σε ορισμένες από τις επιθέσεις, οι απατεώνες προσπαθούν να πείσουν τον χρήστη ότι ορισμένα μηνύματα ηλεκτρονικού ταχυδρομείου δεν έχουν παραδοθεί λόγω μετεγκατάστασης διακομιστή. Σε άλλα, το θύμα ενημερώνεται ότι ορισμένα εισερχόμενα μηνύματα ενδέχεται να έχουν επισημανθεί ως ανεπιθύμητα ως λάθος και ότι πρέπει να ελεγχθούν. Σε μια άλλη καμπάνια, ο χρήστης καλείται να αναβαθμίσει τον λογαριασμό του, ώστε να μπορεί να χρησιμοποιήσει μια νέα έκδοση της πύλης webmail.
Η πανδημία του κοροναϊού έχει επίσης χρησιμοποιηθεί. Ένα από τα στιγμιότυπα οθόνης της Trustwave δείχνει ότι οι απατεώνες προσπαθούν να πλαστοπροσωπήσουν τους λογιστές του εργοδότη του θύματος. Ο χρήστης ενημερώνεται ότι πρέπει να συμπληρώσουν μια φόρμα πληρωμής για να λάβουν μια εκκρεμή πληρωμή που σχετίζεται με την οδηγία εργασίας από το σπίτι. Φυσικά, πολλοί θα μπορούσαν να ανοίξουν τρύπες μέσα από τα σενάρια που ονειρεύονταν οι χάκερ, αλλά δεν είναι δύσκολο να δούμε πόσο άπειροι και λιγότερο τεχνολογικοί χρήστες θα μπορούσαν να πέσουν για την απάτη.
Γιατί επέλεξαν οι απατεώνες το Firebase;
Το αξιοσημείωτο χαρακτηριστικό αυτών των καμπανιών δεν είναι η κοινωνική μηχανική, αλλά η χρήση του Firebase. Οι εγκληματίες στον κυβερνοχώρο φιλοξενούν συχνά τις σελίδες ηλεκτρονικού ψαρέματος τους σε ιστότοπους που συμβιβάζονται εκ των προτέρων. Με αυτόν τον τρόπο, δεν χρειάζεται να εγγράψουν νέους τομείς ή να σκεφτούν να δημιουργήσουν διακομιστές που θα φιλοξενήσουν τις κακόβουλες φόρμες σύνδεσης. Η παραβίαση ενός ιστότοπου δεν είναι απαραίτητα εύκολη, ωστόσο, και συχνά, δεν αξίζει τον κόπο. Μόλις τα προϊόντα ασφαλείας εντοπίσουν κακόβουλη δραστηριότητα στον παραβιασμένο ιστότοπο, ολόκληρος ο τομέας μπορεί να συμπεριληφθεί στη μαύρη λίστα και ολόκληρη η καμπάνια θα μπορούσε να τερματιστεί πρόωρα.
Χρησιμοποιώντας το Firebase, οι phishers εκμεταλλεύονται άμεσα την υποδομή cloud της Google και τη φήμη της. Τα φίλτρα ανεπιθύμητης αλληλογραφίας είναι λιγότερο πιθανό να θέσουν σε άμεση έλεγχο τις διευθύνσεις URL του Firebase και ακόμη και αν μια σελίδα αναφερθεί και καταργηθεί, οι απατεώνες μπορούν να δημιουργήσουν μια άλλη με σχετική ευκολία.
Συνολικά, φαίνεται ότι οι εγκληματίες στον κυβερνοχώρο έχουν βρει έναν νέο τρόπο για να κάνουν τις επιθέσεις τους πιο εξορθολογισμένες και αποτελεσματικές και εναπόκειται στην Google να αντιμετωπίσει. Η διατήρηση των εγκληματιών από τις πλατφόρμες της δεν είναι κάτι νέο για τον κολοσσό της μηχανής αναζήτησης. Ωστόσο, οι ειδικοί του πρέπει να επικεντρωθούν και στο Firebase.
