Slik bruker hackere Google Firebase Storage URLs for å svindle folk

Firebase Phishing URLs

For nettkriminelle er det å stjele brukernes påloggingsinformasjon eller infisere dem med skadelig programvare noe mer enn virksomhet, og som enhver virksomhet presenterer den sitt eget sett med utfordringer. Hackere prøver hele tiden å optimalisere sine ulovlige operasjoner og gjøre dem mer effektive. I et forsøk på å gjøre dette, begynte phishing-mannskaper å bruke Google Firebase-URL-adresser i nylige kampanjer observert av forskere fra Trustwave.

Phishers misbruker Googles Firebase-plattform for å høste innloggingsinformasjon

Firebase er en utviklingsplattform for mobil- og nettapplikasjoner som ble anskaffet av Google i 2014, og den er nå direkte knyttet til søkemotorgigantens enorme skylagringsinfrastruktur. Krokene skjønte at dette gjør det perfekt for lagring av phishing-sider.

I følge Trustwaves forskere har phishersene fordrevet seg med en rekke forskjellige tjenesteleverandører og har laget en rekke scenarier i e-postene deres. Målet er imidlertid alltid det samme - å lure brukere til å klikke på en kobling i e-posten og lede dem til en phishing-side som er vert på Firebase.

Overbevisende e-postmeldinger kan fange mange brukere av vakt

Phisherne har lagt ned mye arbeid i e-postene. Noe av det første du kan legge merke til fra eksemplene Trustwave la ut, er den tydelige mangelen på grammatiske og stavefeil som vi ofte forbinder med phishing-kampanjer. Som forskerne påpekte, er skrifttypene og formateringen ikke perfekte noen steder, men kjeltringene håper tilsynelatende at sosialtekniske triks deres vil være sterke nok til å kompensere for dette.

Noen av scenariene er ganske troverdige. Som vi allerede nevnte, etterligger ikke phisherne en eneste tjenesteleverandør, og de er ikke rettet mot et enkelt sett med brukere. Når det er sagt, ser de fleste e-postmeldinger ut til å være rettet mot ansatte i organisasjoner i forskjellige størrelser.

Microsofts navn blir brukt ganske mye i kampanjene. I noen av angrepene prøver kjeltringene å overbevise brukeren om at noen e-poster ikke er levert på grunn av en servermigrering. I andre får offeret beskjed om at visse innkommende meldinger kan ha blitt flagget som spam feil og at de bør vurderes. I nok en kampanje oppfordres brukeren til å oppgradere kontoen sin slik at de kan bruke en ny versjon av webmailportalen.

Coronavirus-pandemien har også blitt brukt. Et av Trustwaves skjermbilder viser at kjeltringene prøver å etterligne regnskapsførerne til offerets arbeidsgiver. Brukeren får beskjed om at de må fylle ut et betalingsskjema for å motta en utestående betaling relatert til arbeids-fra-hjem-direktivet. Selvfølgelig vil mange være i stand til å pirke hull gjennom scenariene drømte opp av hackerne, men det er ikke vanskelig å se hvor uerfarne og mindre teknisk kyndige brukere kan falle for svindelen.

Hvorfor valgte kjeltringene Firebase?

Det bemerkelsesverdige kjennetegnet ved disse kampanjene er ikke sosialteknikken, men bruken av Firebase. Cybercriminals ofte host phishing-sidene sine på nettsteder som de kompromitterer på forhånd. På den måten trenger de ikke å registrere nye domener eller tenke på å sette opp servere som vil være vert for ondsinnede påloggingsformer. Å hacke et nettsted er ikke nødvendigvis enkelt, og ofte er det rett og slett ikke verdt innsatsen. Så snart sikkerhetsprodukter oppdager skadelig aktivitet på det kompromitterte nettstedet, kan hele domenet svartelistes, og hele kampanjen kan avsluttes for tidlig.

Ved å bruke Firebase, utnytter phisherne direkte Googles skyinfrastruktur og omdømme. Det er mindre sannsynlig at spamfiltrene gir Firebase-URL-er under direkte granskning, og selv om en side blir rapportert og fjernet, kan skurkene sette opp en annen med relativt enkelhet.

Alt i alt ser det ut som nettkriminelle har funnet en ny måte å gjøre angrepene sine mer strømlinjeformede og effektive, og det er opp til Google å motvirke. Å holde kriminelle utenfor plattformene er ikke noe nytt for søkemotorens kolossus. Ekspertene må nå også fokusere på Firebase.

June 3, 2020
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.