Voici comment les pirates utilisent les URL de stockage de Google Firebase pour escroquer les gens
Pour les cybercriminels, le fait de voler les identifiants de connexion des utilisateurs ou de les infecter avec des logiciels malveillants n'est rien d'autre que des affaires, et comme toute entreprise, il présente son propre ensemble de défis. Les pirates essaient constamment d'optimiser leurs opérations illégales et de les rendre plus efficaces. Pour ce faire, des équipes de phishing ont commencé à utiliser des URL Google Firebase dans des campagnes récentes observées par des chercheurs de Trustwave.
Table of Contents
Les hameçonneurs abusent de la plateforme Firebase de Google pour collecter les informations de connexion
Firebase est une plate-forme de développement pour les applications mobiles et Web acquise par Google en 2014, et elle est maintenant directement liée à l'infrastructure de stockage en nuage massive du géant des moteurs de recherche. Les escrocs ont réalisé que cela le rend parfait pour stocker des pages de phishing.
Selon les chercheurs de Trustwave, les hameçonneurs ont usurpé l'identité d'un certain nombre de fournisseurs de services différents et ont créé un certain nombre de scénarios dans leurs e-mails. Cependant, l'objectif est toujours le même: inciter les utilisateurs à cliquer sur un lien dans l'e-mail et les diriger vers une page de phishing hébergée sur Firebase.
Des e-mails convaincants peuvent surprendre de nombreux utilisateurs
Les hameçonneurs ont mis beaucoup d'efforts dans les e-mails. L'une des premières choses que vous pouvez remarquer dans les exemples publiés par Trustwave est le manque évident d'erreurs grammaticales et d'orthographe que nous associons souvent aux campagnes de phishing. Comme l'ont souligné les chercheurs, les polices et la mise en forme ne sont pas parfaites à certains endroits, mais les escrocs espèrent apparemment que leurs astuces d'ingénierie sociale seront suffisamment solides pour compenser cela.
En effet, certains des scénarios sont tout à fait crédibles. Comme nous l'avons déjà mentionné, les hameçonneurs n'empruntent pas l'identité d'un seul fournisseur de services et ne ciblent pas un seul ensemble d'utilisateurs. Cela dit, la majorité des courriels semblent viser les employés d'organisations de différentes tailles.
Le nom de Microsoft est largement utilisé tout au long des campagnes. Dans certaines attaques, les escrocs tentent de convaincre l'utilisateur que certains e-mails n'ont pas été remis en raison d'une migration de serveur. Dans d'autres, la victime est informée que certains messages entrants peuvent avoir été signalés par erreur comme spam et doivent être examinés. Dans une autre campagne encore, l'utilisateur est invité à mettre à niveau son compte afin de pouvoir utiliser une nouvelle version du portail de messagerie Web.
La pandémie de coronavirus a également été utilisée. L'une des captures d'écran de Trustwave montre que les escrocs tentent de se faire passer pour les comptables de l'employeur de la victime. L'utilisateur est informé qu'il doit remplir un formulaire de paiement afin de recevoir un paiement impayé lié à la directive travail à domicile. Bien sûr, beaucoup seraient en mesure de percer les scénarios imaginés par les pirates, mais il n'est pas difficile de voir comment des utilisateurs inexpérimentés et moins avertis pourraient tomber dans l'escroquerie.
Pourquoi les escrocs ont-ils choisi Firebase?
La caractéristique remarquable de ces campagnes n'est pas l'ingénierie sociale, mais l'utilisation de Firebase. Les cybercriminels hébergent souvent leurs pages de phishing sur des sites Web qu'ils compromettent au préalable. De cette façon, ils n'ont pas besoin d'enregistrer de nouveaux domaines ou de penser à configurer des serveurs qui hébergeront les formulaires de connexion malveillants. Le piratage d'un site Web n'est pas nécessairement facile, cependant, et souvent, cela ne vaut tout simplement pas la peine. Dès que les produits de sécurité détectent une activité malveillante sur le site Web compromis, l'ensemble du domaine peut être mis sur liste noire et toute la campagne peut se terminer prématurément.
En utilisant Firebase, les hameçonneurs profitent directement de l'infrastructure cloud de Google et de sa réputation. Les filtres anti-spam sont moins susceptibles de soumettre les URL Firebase à un examen direct, et même si une page est signalée et supprimée, les escrocs peuvent en créer une autre avec une relative facilité.
Dans l'ensemble, il semble que les cybercriminels aient trouvé une nouvelle façon de rendre leurs attaques plus rationalisées et efficaces, et c'est à Google de les contrer. Garder les criminels hors de ses plates-formes n'est pas quelque chose de nouveau pour le colosse des moteurs de recherche. Ses experts doivent désormais se concentrer également sur Firebase.