Veja como os hackers estão usando os URLs de armazenamento do Google Firebase para enganar as pessoas
Para os cibercriminosos, o ato de roubar credenciais de login dos usuários ou infectá-los com malware não passa de negócios e, como qualquer negócio, apresenta seu próprio conjunto de desafios. Os hackers estão constantemente tentando otimizar suas operações ilegais e torná-las mais eficazes. Na tentativa de fazer isso, as equipes de phishing começaram a usar os URLs do Google Firebase em campanhas recentes observadas por pesquisadores da Trustwave.
Índice
Phishers abusam da plataforma Firebase do Google para obter credenciais de login
O Firebase é uma plataforma de desenvolvimento para aplicativos móveis e da Web que foi adquirida pelo Google em 2014 e agora está diretamente vinculada à enorme infraestrutura de armazenamento em nuvem da gigante dos mecanismos de pesquisa. Os bandidos perceberam que isso o torna perfeito para armazenar páginas de phishing.
Segundo os pesquisadores da Trustwave, os phishers representaram vários provedores de serviços diferentes e criaram uma série de cenários em seus e-mails. O objetivo, no entanto, é sempre o mesmo: induzir os usuários a clicar em um link no e-mail e levá-los a uma página de phishing hospedada no Firebase.
E-mails convincentes podem pegar muitos usuários desprevenidos
Os phishers se esforçaram bastante nos e-mails. Uma das primeiras coisas que você pode notar nos exemplos publicados pela Trustwave é a distinta falta de erros gramaticais e ortográficos que frequentemente associamos a campanhas de phishing. Como os pesquisadores apontaram, as fontes e a formatação não são perfeitas em alguns lugares, mas os criminosos aparentemente esperam que seus truques de engenharia social sejam fortes o suficiente para compensar isso.
De fato, alguns dos cenários são bastante críveis. Como já mencionamos, os phishers não estão se passando por um único provedor de serviços e não estão direcionando um único conjunto de usuários. Dito isto, a maioria dos emails parece ser destinada a funcionários de organizações de vários tamanhos.
O nome da Microsoft é usado amplamente nas campanhas. Em alguns dos ataques, os criminosos tentam convencer o usuário de que alguns emails não foram entregues devido a uma migração do servidor. Em outros, a vítima é informada de que certas mensagens recebidas podem ter sido sinalizadas como spam erroneamente e devem ser revisadas. Em mais uma campanha, o usuário é solicitado a atualizar sua conta para poder usar uma nova versão do portal de webmail.
A pandemia de coronavírus também foi utilizada. Uma das capturas de tela da Trustwave mostra que os criminosos estão tentando se passar por contadores do empregador da vítima. O usuário é informado de que precisa preencher um formulário de pagamento para receber um pagamento pendente relacionado à diretiva trabalhar em casa. É claro que muitos seriam capazes de abrir buracos nos cenários imaginados pelos hackers, mas não é difícil ver como os usuários inexperientes e com menos conhecimento de tecnologia podem cair no golpe.
Por que os bandidos escolheram o Firebase?
A característica marcante dessas campanhas não é a engenharia social, mas o uso do Firebase. Os cibercriminosos costumam hospedar suas páginas de phishing em sites comprometidos anteriormente. Dessa forma, eles não precisam registrar novos domínios ou pensar em configurar servidores que hospedarão os formulários de login mal-intencionados. Hackear um site não é necessariamente fácil, e muitas vezes simplesmente não vale a pena. Assim que os produtos de segurança detectam atividade maliciosa no site comprometido, todo o domínio pode ser colocado na lista negra e toda a campanha pode terminar prematuramente.
Ao usar o Firebase, os phishers estão aproveitando diretamente a infraestrutura em nuvem do Google e sua reputação. É menos provável que os filtros de spam coloquem os URLs do Firebase sob escrutínio direto e, mesmo que uma página seja relatada e removida, os criminosos podem configurar outra com relativa facilidade.
Em suma, parece que os cibercriminosos encontraram uma nova maneira de tornar seus ataques mais ágeis e eficazes, e cabe ao Google combater. Manter os criminosos fora de suas plataformas não é algo novo para o colosso do mecanismo de busca. Seus especialistas agora precisam se concentrar também no Firebase.
