Så här använder hackare Google Firebase Storage URLs för att bedra personer
För cyberbrottslingar är handlingen att stjäla användarnas inloggningsuppgifter eller infektera dem med skadlig programvara inget annat än affärer, och som alla företag presenterar det sin egen uppsättning utmaningar. Hackare försöker ständigt optimera sin olagliga verksamhet och göra dem mer effektiva. I ett försök att göra det började phishing-besättningar använda Google Firebase-URL: er i senaste kampanjer som observerats av forskare från Trustwave.
Table of Contents
Phishers missbrukar Googles Firebase-plattform för att skörda inloggningsuppgifter
Firebase är en utvecklingsplattform för mobil- och webbapplikationer som förvärvades av Google 2014 och är nu direkt kopplad till sökmotorjättens massiva molnlagringsinfrastruktur. Skurkarna insåg att detta gör det perfekt för lagring av phishing-sidor.
Enligt Trustwaves forskare har phisharna efterge sig ett antal olika tjänsteleverantörer och skapat ett antal scenarier i sina e-postmeddelanden. Målet är emellertid alltid detsamma - lura användare att klicka på en länk i e-postmeddelandet och leda dem till en phishing-sida som är värd på Firebase.
Övertygande e-postmeddelanden kan fånga många användare utanför
Phisharna har lagt mycket in i e-postmeddelandena. En av de första sakerna du kan lägga märke till från exemplen som Trustwave publicerade är den tydliga bristen på grammatiska och stavfel som vi ofta förknippar med phishing-kampanjer. Som forskarna påpekade är teckensnitten och formateringen inte perfekta på vissa ställen, men skurkarna hoppas tydligen att deras socialtekniska tricks är tillräckligt starka för att kompensera för detta.
Faktum är att vissa av scenarierna är helt trovärdiga. Som vi redan nämnde utgör inte phishersna sig en enda tjänsteleverantör och de är inte inriktade på en enda uppsättning användare. Som sagt verkar majoriteten av e-postmeddelanden riktas till anställda i organisationer av olika storlekar.
Microsofts namn används ganska mycket i kampanjerna. I några av attackerna försöker skurkarna att övertyga användaren om att vissa e-postmeddelanden inte har levererats på grund av en servermigrering. I andra berättas offret att vissa inkommande meddelanden kan ha flaggats som skräppost felaktigt och bör granskas. I ännu en kampanj uppmanas användaren att uppgradera sitt konto så att de kan använda en ny version av webbmailportalen.
Coronavirus-pandemin har också använts. En av Trustwaves skärmdumpar visar att skurkarna försöker efterge sig bokförarna till offrets arbetsgivare. Användaren får höra att de måste fylla i ett betalningsformulär för att få en utestående betalning relaterad till direktivet om arbete hemifrån. Naturligtvis skulle många kunna sticka hål genom scenarierna som drömts upp av hackarna, men det är inte svårt att se hur oerfarna och mindre tekniska kunniga användare kan falla för bedrägeriet.
Varför valde skurkarna Firebase?
Det anmärkningsvärda kännetecknet för dessa kampanjer är dock inte den sociala tekniken utan användningen av Firebase. Cyberkriminella är ofta värd för sina phishing-sidor på webbplatser som de komprometterar i förväg. På så sätt behöver de inte registrera nya domäner eller fundera på att ställa in servrar som är värd för skadliga inloggningsformulär. Att hacka en webbplats är dock inte nödvändigtvis lätt, och ofta är det helt enkelt inte värt ansträngningen. Så snart säkerhetsprodukter upptäcker skadlig aktivitet på den komprometterade webbplatsen kan hela domänen svartlistas och hela kampanjen kan sluta för tidigt.
Genom att använda Firebase utnyttjar phishersna direkt Googles molninfrastruktur och dess rykte. Det är mindre troligt att spamfiltren sätter Firebase-webbadresser direkt under granskningen, och även om en sida rapporteras och tas bort kan skurkarna ställa in en annan med relativt enkelhet.
Sammantaget ser det ut som cyberbrottslingarna har hittat ett nytt sätt att göra sina attacker mer strömlinjeformade och effektiva, och det är upp till Google att motverka. Att hålla brottslingar från sina plattformar är inte något nytt för sökmotorns koloss. Dess experter måste nu också fokusera på Firebase.
