Ecco come gli hacker utilizzano gli URL di archiviazione di Google Firebase per truffare le persone

Per i criminali informatici, l'atto di rubare le credenziali di accesso degli utenti o infettarle con malware non è altro che un business e, come qualsiasi business, presenta le proprie sfide. Gli hacker cercano costantemente di ottimizzare le loro operazioni illegali e renderle più efficaci. Nel tentativo di farlo, le squadre di phishing hanno iniziato a utilizzare gli URL di Google Firebase nelle recenti campagne osservate dai ricercatori di Trustwave.

I phisher abusano della piattaforma Firebase di Google per raccogliere le credenziali di accesso

Firebase è una piattaforma di sviluppo per applicazioni mobili e web acquisita da Google nel 2014 ed è ora direttamente collegata alla massiccia infrastruttura di cloud storage del gigante dei motori di ricerca. I truffatori hanno capito che questo lo rende perfetto per la memorizzazione di pagine di phishing.

Secondo i ricercatori di Trustwave, i phisher hanno impersonato una serie di diversi fornitori di servizi e hanno creato una serie di scenari nelle loro e-mail. L'obiettivo, tuttavia, è sempre lo stesso: indurre gli utenti a fare clic su un collegamento nell'e-mail e portarli a una pagina di phishing ospitata su Firebase.

Le e-mail convincenti possono sorprendere molti utenti

I phisher hanno fatto un grande sforzo nelle e-mail. Una delle prime cose che puoi notare dagli esempi pubblicati da Trustwave è la netta mancanza di errori grammaticali e di ortografia che spesso associamo alle campagne di phishing. Come hanno sottolineato i ricercatori, i caratteri e la formattazione non sono perfetti in alcuni punti, ma i truffatori apparentemente sperano che i loro trucchi di ingegneria sociale siano abbastanza forti da compensare questo.

In effetti, alcuni scenari sono abbastanza credibili. Come abbiamo già detto, i phisher non stanno impersonando un singolo fornitore di servizi e non stanno prendendo di mira un singolo insieme di utenti. Detto questo, la maggior parte delle e-mail sembrano indirizzate a dipendenti di organizzazioni di varie dimensioni.

Il nome di Microsoft è ampiamente utilizzato in tutte le campagne. In alcuni degli attacchi, i truffatori cercano di convincere l'utente che alcune e-mail non sono state recapitate a causa di una migrazione del server. In altri, alla vittima viene detto che alcuni messaggi in arrivo potrebbero essere stati contrassegnati come spam erroneamente e dovrebbero essere rivisti. In un'altra campagna, l'utente è invitato ad aggiornare il proprio account in modo da poter utilizzare una nuova versione del portale di webmail.

È stata utilizzata anche la pandemia di coronavirus. Uno degli screenshot di Trustwave mostra che i truffatori stanno cercando di impersonare i ragionieri del datore di lavoro della vittima. All'utente viene comunicato che è necessario compilare un modulo di pagamento per ricevere un pagamento in sospeso relativo alla direttiva sul lavoro da casa. Naturalmente, molti sarebbero in grado di creare buchi negli scenari inventati dagli hacker, ma non è difficile vedere come gli utenti inesperti e meno esperti di tecnologia potrebbero innamorarsi della truffa.

Perché i truffatori hanno scelto Firebase?

La straordinaria caratteristica di queste campagne non è l'ingegneria sociale, ma l'uso di Firebase, comunque. I criminali informatici ospitano spesso le loro pagine di phishing su siti Web che compromettono in anticipo. In questo modo, non devono registrare nuovi domini o pensare alla configurazione di server che ospiteranno i moduli di accesso dannosi. La pirateria informatica di un sito Web non è necessariamente facile, tuttavia, e spesso non ne vale la pena. Non appena i prodotti di sicurezza rilevano attività dannose sul sito Web compromesso, l'intero dominio può essere inserito nella lista nera e l'intera campagna potrebbe terminare prematuramente.

Utilizzando Firebase, i phisher sfruttano direttamente l'infrastruttura cloud di Google e la sua reputazione. I filtri antispam hanno meno probabilità di mettere gli URL di Firebase sotto controllo diretto e, anche se una pagina viene segnalata e rimossa, i truffatori possono crearne un'altra con relativa facilità.

Tutto sommato, sembra che i criminali informatici abbiano trovato un nuovo modo di rendere i loro attacchi più snelli ed efficaci, e sta a Google contrattaccare. Tenere i criminali fuori dalle sue piattaforme non è una novità per il colosso dei motori di ricerca. Tuttavia, i suoi esperti ora devono concentrarsi anche su Firebase.