Voici comment les pirates utilisent les URL de stockage de Google Firebase pour escroquer les gens

Firebase Phishing URLs

Pour les cybercriminels, le fait de voler les identifiants de connexion des utilisateurs ou de les infecter avec des logiciels malveillants n'est rien d'autre que des affaires, et comme toute entreprise, il présente son propre ensemble de défis. Les pirates essaient constamment d'optimiser leurs opérations illégales et de les rendre plus efficaces. Pour ce faire, des équipes de phishing ont commencé à utiliser des URL Google Firebase dans des campagnes récentes observées par des chercheurs de Trustwave.

Les hameçonneurs abusent de la plateforme Firebase de Google pour collecter les informations de connexion

Firebase est une plate-forme de développement pour les applications mobiles et Web acquise par Google en 2014, et elle est maintenant directement liée à l'infrastructure de stockage en nuage massive du géant des moteurs de recherche. Les escrocs ont réalisé que cela le rend parfait pour stocker des pages de phishing.

Selon les chercheurs de Trustwave, les hameçonneurs ont usurpé l'identité d'un certain nombre de fournisseurs de services différents et ont créé un certain nombre de scénarios dans leurs e-mails. Cependant, l'objectif est toujours le même: inciter les utilisateurs à cliquer sur un lien dans l'e-mail et les diriger vers une page de phishing hébergée sur Firebase.

Des e-mails convaincants peuvent surprendre de nombreux utilisateurs

Les hameçonneurs ont mis beaucoup d'efforts dans les e-mails. L'une des premières choses que vous pouvez remarquer dans les exemples publiés par Trustwave est le manque évident d'erreurs grammaticales et d'orthographe que nous associons souvent aux campagnes de phishing. Comme l'ont souligné les chercheurs, les polices et la mise en forme ne sont pas parfaites à certains endroits, mais les escrocs espèrent apparemment que leurs astuces d'ingénierie sociale seront suffisamment solides pour compenser cela.

En effet, certains des scénarios sont tout à fait crédibles. Comme nous l'avons déjà mentionné, les hameçonneurs n'empruntent pas l'identité d'un seul fournisseur de services et ne ciblent pas un seul ensemble d'utilisateurs. Cela dit, la majorité des courriels semblent viser les employés d'organisations de différentes tailles.

Le nom de Microsoft est largement utilisé tout au long des campagnes. Dans certaines attaques, les escrocs tentent de convaincre l'utilisateur que certains e-mails n'ont pas été remis en raison d'une migration de serveur. Dans d'autres, la victime est informée que certains messages entrants peuvent avoir été signalés par erreur comme spam et doivent être examinés. Dans une autre campagne encore, l'utilisateur est invité à mettre à niveau son compte afin de pouvoir utiliser une nouvelle version du portail de messagerie Web.

La pandémie de coronavirus a également été utilisée. L'une des captures d'écran de Trustwave montre que les escrocs tentent de se faire passer pour les comptables de l'employeur de la victime. L'utilisateur est informé qu'il doit remplir un formulaire de paiement afin de recevoir un paiement impayé lié à la directive travail à domicile. Bien sûr, beaucoup seraient en mesure de percer les scénarios imaginés par les pirates, mais il n'est pas difficile de voir comment des utilisateurs inexpérimentés et moins avertis pourraient tomber dans l'escroquerie.

Pourquoi les escrocs ont-ils choisi Firebase?

La caractéristique remarquable de ces campagnes n'est pas l'ingénierie sociale, mais l'utilisation de Firebase. Les cybercriminels hébergent souvent leurs pages de phishing sur des sites Web qu'ils compromettent au préalable. De cette façon, ils n'ont pas besoin d'enregistrer de nouveaux domaines ou de penser à configurer des serveurs qui hébergeront les formulaires de connexion malveillants. Le piratage d'un site Web n'est pas nécessairement facile, cependant, et souvent, cela ne vaut tout simplement pas la peine. Dès que les produits de sécurité détectent une activité malveillante sur le site Web compromis, l'ensemble du domaine peut être mis sur liste noire et toute la campagne peut se terminer prématurément.

En utilisant Firebase, les hameçonneurs profitent directement de l'infrastructure cloud de Google et de sa réputation. Les filtres anti-spam sont moins susceptibles de soumettre les URL Firebase à un examen direct, et même si une page est signalée et supprimée, les escrocs peuvent en créer une autre avec une relative facilité.

Dans l'ensemble, il semble que les cybercriminels aient trouvé une nouvelle façon de rendre leurs attaques plus rationalisées et efficaces, et c'est à Google de les contrer. Garder les criminels hors de ses plates-formes n'est pas quelque chose de nouveau pour le colosse des moteurs de recherche. Ses experts doivent désormais se concentrer également sur Firebase.

Par Duran
June 3, 2020
News
Français
June 3, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.