Oto, w jaki sposób hakerzy używają adresów URL Google Firebase Storage do oszukiwania ludzi
Dla cyberprzestępców kradzież danych logowania użytkowników lub zainfekowanie ich złośliwym oprogramowaniem jest niczym więcej niż biznesem i jak każda firma stwarza własny zestaw wyzwań. Hakerzy stale próbują zoptymalizować swoje nielegalne operacje i zwiększyć ich skuteczność. Próbując to zrobić, ekipy phishingowe zaczęły używać adresów URL Google Firebase w ostatnich kampaniach obserwowanych przez naukowców z Trustwave.
Table of Contents
Phisherzy wykorzystują platformę Firebase firmy Google do pozyskiwania danych logowania
Firebase to platforma programistyczna dla aplikacji mobilnych i internetowych, która została nabyta przez Google w 2014 roku i jest teraz bezpośrednio połączona z ogromną infrastrukturą pamięci masowej giganta wyszukiwarek. Oszuści zdali sobie sprawę, że dzięki temu idealnie nadaje się do przechowywania stron phishingowych.
Według badaczy Trustwave phisherzy podszywali się pod wielu różnych dostawców usług i stworzyli szereg scenariuszy w swoich wiadomościach e-mail. Cel jest jednak zawsze ten sam - nakłanianie użytkowników do kliknięcia łącza w wiadomości e-mail i doprowadzenie ich do strony phishingowej hostowanej w Firebase.
Przekonujące wiadomości e-mail mogą zaskoczyć wielu użytkowników
Phishingi włożyli wiele wysiłku w wiadomości e-mail. Jedną z pierwszych rzeczy, które można zauważyć na przykładach opublikowanych przez Trustwave, jest wyraźny brak błędów gramatycznych i błędów ortograficznych, które często kojarzymy z kampaniami phishingowymi. Jak zauważyli naukowcy, czcionki i formatowanie nie są idealne w niektórych miejscach, ale oszuści najwyraźniej mają nadzieję, że ich sztuczki z inżynierii społecznej będą wystarczająco mocne, aby to zrekompensować.
Rzeczywiście, niektóre scenariusze są całkiem wiarygodne. Jak już wspomnieliśmy, phisherzy nie podszywają się pod jednego dostawcę usług i nie atakują jednego zestawu użytkowników. Biorąc to pod uwagę, większość e-maili wydaje się być kierowana do pracowników organizacji różnej wielkości.
Nazwa Microsoft jest używana dość szeroko w kampaniach. W niektórych atakach oszuści próbują przekonać użytkownika, że niektóre wiadomości e-mail nie zostały dostarczone z powodu migracji serwera. W innych ofiara jest informowana, że niektóre przychodzące wiadomości mogły zostać błędnie oznaczone jako spam i powinny zostać sprawdzone. W jeszcze innej kampanii użytkownik jest proszony o uaktualnienie konta, aby móc korzystać z nowej wersji portalu poczty internetowej.
Wykorzystano także pandemię koronawirusa. Jeden ze zrzutów ekranu Trustwave pokazuje, że oszuści próbują podszyć się pod księgowych pracodawcy ofiary. Użytkownik jest informowany, że musi wypełnić formularz płatności, aby otrzymać zaległą płatność związaną z dyrektywą dotyczącą pracy w domu. Oczywiście wielu byłoby w stanie przebić dziury w scenariuszach wymyślonych przez hakerów, ale nietrudno dostrzec, jak niedoświadczeni i mniej doświadczeni użytkownicy mogą wpaść na oszustwo.
Dlaczego oszuści wybrali Firebase?
Niezwykłą cechą tych kampanii nie jest socjotechnika, ale użycie Firebase. Cyberprzestępcy często hostują swoje strony phishingowe w witrynach, które wcześniej zhakowali. W ten sposób nie muszą rejestrować nowych domen ani myśleć o skonfigurowaniu serwerów, które będą hostować złośliwe formularze logowania. Hakowanie strony internetowej niekoniecznie jest łatwe i często nie jest warte wysiłku. Gdy tylko produkty zabezpieczające wykryją złośliwą aktywność w zaatakowanej witrynie, cała domena może zostać umieszczona na czarnej liście, a cała kampania może zakończyć się przedwcześnie.
Korzystając z Firebase, phisherzy korzystają bezpośrednio z infrastruktury chmury Google i jej reputacji. Filtry antyspamowe rzadziej poddają adresy URL Firebase bezpośredniej kontroli, a nawet jeśli jedna strona zostanie zgłoszona i usunięta, oszuści mogą stosunkowo łatwo skonfigurować inną.
Podsumowując, wygląda na to, że cyberprzestępcy znaleźli nowy sposób na usprawnienie i skuteczność swoich ataków, a Google musi temu przeciwdziałać. Utrzymywanie przestępców poza platformami nie jest niczym nowym dla kolosów wyszukiwarek. Jednak eksperci muszą teraz skupić się również na Firebase.
