Вот как хакеры используют Google Firebase Storage URL для мошенников

Firebase Phishing URLs

Для киберпреступников кража учетных данных пользователей или заражение их вредоносными программами - не более чем бизнес, и, как и любой другой бизнес, он ставит свои собственные задачи. Хакеры постоянно пытаются оптимизировать свои незаконные операции и сделать их более эффективными. В попытке сделать это, фишинговые команды начали использовать URL-адреса Google Firebase в недавних кампаниях, проводимых исследователями из Trustwave.

Фишеры используют Google Firebase для сбора учетных данных

Firebase - это платформа для разработки мобильных и веб-приложений, которая была приобретена Google в 2014 году, и теперь она напрямую связана с огромной облачной инфраструктурой поискового гиганта. Мошенники поняли, что это делает его идеальным для хранения фишинговых страниц.

По словам исследователей Trustwave, фишеры выдавали себя за нескольких различных поставщиков услуг и создали ряд сценариев в своих электронных письмах. Однако цель всегда одна и та же - заставить пользователей щелкнуть ссылку в электронном письме и перейти на фишинговую страницу, размещенную на Firebase.

Убедительные электронные письма могут застать многих пользователей врасплох

Фишеры вложили много усилий в электронные письма. Первое, что вы можете заметить из примеров, опубликованных Trustwave, - это явное отсутствие грамматических и орфографических ошибок, которые мы часто связываем с фишинговыми кампаниями. Как отмечают исследователи, шрифты и форматирование в некоторых местах не идеальны, но мошенники, очевидно, надеются, что их приемы социальной инженерии будут достаточно сильны, чтобы компенсировать это.

Действительно, некоторые из сценариев вполне правдоподобны. Как мы уже упоминали, фишеры не выдавали себя за одного поставщика услуг и не ориентированы на один набор пользователей. При этом большинство электронных писем, по-видимому, предназначено для сотрудников организаций различных размеров.

Имя Microsoft довольно широко используется в кампаниях. В некоторых атаках мошенники пытаются убедить пользователя, что некоторые электронные письма не были доставлены из-за миграции сервера. В других случаях жертве говорят, что некоторые входящие сообщения могли быть помечены как спам по ошибке и должны быть проверены. В еще одной кампании пользователю предлагается обновить свою учетную запись, чтобы он мог использовать новую версию портала веб-почты.

Также была использована пандемия коронавируса. Один из скриншотов Trustwave показывает, что мошенники пытаются выдать себя за бухгалтера работодателя жертвы. Пользователю сообщают, что ему необходимо заполнить платежную форму, чтобы получить непогашенный платеж, связанный с директивой «работа на дому». Конечно, многие смогут пробиться сквозь сценарии, придуманные хакерами, но нетрудно понять, как неопытные и менее технически подкованные пользователи могут влюбиться в мошенников.

Почему мошенники выбрали Firebase?

Замечательной характеристикой этих кампаний является не социальная инженерия, а использование Firebase. Киберпреступники часто размещают свои фишинговые страницы на заранее скомпрометированных веб-сайтах. Таким образом, им не нужно регистрировать новые домены или думать о настройке серверов, на которых будут размещаться вредоносные формы входа. Взломать сайт не всегда просто, но зачастую это просто не стоит усилий. Как только продукты безопасности обнаружат вредоносную активность на скомпрометированном веб-сайте, весь домен может быть помещен в черный список, и вся кампания может закончиться преждевременно.

Используя Firebase, фишеры напрямую пользуются облачной инфраструктурой Google и его репутацией. Спам-фильтры с меньшей вероятностью будут подвергать URL-адреса Firebase непосредственному анализу, и даже если одна страница будет сообщена и удалена, мошенники могут относительно легко настроить другую.

В общем, похоже, что киберпреступники нашли новый способ сделать свои атаки более упорядоченными и эффективными, и Google должен противодействовать. Запретить преступникам свои платформы не является чем-то новым для колосса поисковой системы. Однако его экспертам теперь необходимо сосредоточиться и на Firebase.

June 3, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.