Hier leest u hoe hackers Google Firebase Storage-URL's gebruiken om mensen op te lichten
Voor cybercriminelen is het stelen van de inloggegevens van gebruikers of het infecteren met malware niets meer dan zakelijk, en net als elk ander bedrijf biedt het zijn eigen reeks uitdagingen. Hackers proberen voortdurend hun illegale activiteiten te optimaliseren en effectiever te maken. In een poging om dat te doen, begonnen phishing-teams Google Firebase-URL's te gebruiken in recente campagnes die werden waargenomen door onderzoekers van Trustwave.
Table of Contents
Phishers misbruiken het Firebase-platform van Google om inloggegevens te verzamelen
Firebase is een ontwikkelingsplatform voor mobiele en webapplicaties dat in 2014 door Google is overgenomen en nu rechtstreeks is gekoppeld aan de enorme cloudopslaginfrastructuur van de zoekmachine. De oplichters beseften dat dit het perfect maakt voor het opslaan van phishing-pagina's.
Volgens de onderzoekers van Trustwave hebben de phishers zich voorgedaan als een aantal verschillende serviceproviders en hebben ze een aantal scenario's gemaakt in hun e-mails. Het doel is echter altijd hetzelfde: gebruikers overhalen om op een link in de e-mail te klikken en hen naar een phishing-pagina leiden die wordt gehost op Firebase.
Overtuigende e-mails kunnen veel gebruikers overrompelen
De phishers hebben veel aandacht besteed aan de e-mails. Een van de eerste dingen die u kunt zien aan de voorbeelden die Trustwave heeft gepost, is het duidelijke gebrek aan grammaticale en spelfouten die we vaak associëren met phishingcampagnes. Zoals de onderzoekers opmerkten, zijn de lettertypen en opmaak op sommige plaatsen niet perfect, maar de oplichters hopen blijkbaar dat hun social engineering-trucs sterk genoeg zullen zijn om dit te compenseren.
Sommige scenario's zijn inderdaad behoorlijk geloofwaardig. Zoals we al vermeldden, imiteren de phishers niet één enkele serviceprovider en richten ze zich niet op één set gebruikers. Dat gezegd hebbende, lijkt het merendeel van de e-mails gericht te zijn op medewerkers van organisaties van verschillende omvang.
De naam van Microsoft wordt vrij veel gebruikt in de campagnes. Bij sommige aanvallen proberen de oplichters de gebruiker ervan te overtuigen dat sommige e-mails niet zijn afgeleverd vanwege een servermigratie. In andere gevallen wordt het slachtoffer verteld dat bepaalde inkomende berichten mogelijk ten onrechte als spam zijn gemarkeerd en moeten worden beoordeeld. In weer een andere campagne wordt de gebruiker aangespoord om zijn account te upgraden zodat hij een nieuwe versie van de webmailportal kan gebruiken.
De coronavirus-pandemie is ook gebruikt. Een van de screenshots van Trustwave laat zien dat de boeven de accountants van de werkgever van het slachtoffer proberen na te bootsen. De gebruiker wordt verteld dat hij een betalingsformulier moet invullen om een openstaande betaling te ontvangen in verband met de thuiswerkrichtlijn. Natuurlijk zouden velen gaten kunnen maken in de scenario's die door de hackers zijn bedacht, maar het is niet moeilijk om te zien hoe onervaren en minder technisch onderlegde gebruikers voor de zwendel kunnen vallen.
Waarom hebben de boeven Firebase gekozen?
Het opmerkelijke kenmerk van deze campagnes is echter niet de social engineering, maar het gebruik van Firebase. Cybercriminelen hosten hun phishing-pagina's vaak op websites die ze vooraf hebben gecompromitteerd. Op die manier hoeven ze geen nieuwe domeinen te registreren of na te denken over het opzetten van servers die de kwaadaardige inlogformulieren zullen hosten. Het hacken van een website is echter niet per se gemakkelijk, en vaak is het de moeite niet waard. Zodra beveiligingsproducten schadelijke activiteiten op de besmette website detecteren, kan het hele domein op de zwarte lijst worden gezet en kan de hele campagne voortijdig eindigen.
Door Firebase te gebruiken, profiteren de phishers direct van de cloudinfrastructuur en de reputatie van Google. De spamfilters zullen Firebase-URL's minder snel onder de loep nemen, en zelfs als een pagina wordt gerapporteerd en verwijderd, kunnen de oplichters met relatief gemak een andere opzetten.
Al met al lijkt het erop dat de cybercriminelen een nieuwe manier hebben gevonden om hun aanvallen gestroomlijnder en effectiever te maken, en het is aan Google om dit tegen te gaan. Het buiten de platforms houden van criminelen is niet iets nieuws voor de kolos van zoekmachines. De experts moeten zich nu echter ook op Firebase richten.
