黑客如何使用Google Firebase存储URL来骗人
对于网络犯罪分子而言,窃取用户登录凭据或用恶意软件感染它们的行为无非是一项业务,而且与任何业务一样,它也面临着一系列挑战。黑客一直在努力优化其非法操作,使其更有效。为了做到这一点,网络钓鱼人员在Trustwave研究人员观察到的近期活动中开始使用Google Firebase URL。
Table of Contents
网络钓鱼者滥用Google的Firebase平台来获取登录凭据
Firebase是用于移动和Web应用程序的开发平台,于2014年被Google收购,它现在已直接链接到搜索引擎巨头的大规模云存储基础架构。骗子意识到这使其非常适合存储网络钓鱼页面。
根据Trustwave的研究人员所说,网络钓鱼者冒充了许多不同的服务提供商,并在其电子邮件中创建了许多情况。但是,目标始终是相同的-诱使用户单击电子邮件中的链接,并将其引导到Firebase上托管的网络钓鱼页面。
令人信服的电子邮件可以使许多用户措手不及
网络钓鱼者已经为电子邮件付出了很多努力。您可以从Trustwave发布的示例中注意到的第一件事是明显缺乏语法和拼写错误,而这些错误通常与网络钓鱼活动有关。正如研究人员所指出的那样,字体和格式在某些地方并不完美,但是骗子们显然希望他们的社交工程技巧足够强大,以弥补这一点。
确实,某些情况是相当可信的。正如我们已经提到的,网络钓鱼者并没有冒充单个服务提供商,也不是针对单个用户。话虽如此,大多数电子邮件似乎都是针对各种规模的组织的员工。
在整个活动中,微软的名字被广泛使用。在某些攻击中,骗子试图说服用户由于服务器迁移而导致某些电子邮件未送达。在其他情况下,受害者被告知某些传入邮件可能已被错误地标记为垃圾邮件,应进行检查。在另一个活动中,敦促用户升级其帐户,以便他们可以使用新版本的Webmail门户。
还使用了冠状病毒大流行。 Trustwave的屏幕截图之一显示,骗子试图冒充受害人雇主的会计师。告知用户,他们需要填写付款表格才能收到与在家工作指令相关的未付款项。当然,许多人都可以在黑客梦dream以求的情况下戳破漏洞,但是不难发现,经验不足且技术娴熟的用户可能会因此而陷入困境。
骗子为什么选择Firebase?
这些活动的显着特征不是社交工程,而是Firebase的使用。网络犯罪分子通常将其网络钓鱼页面托管在他们事先破坏的网站上。这样,他们就无需注册新域或考虑设置将托管恶意登录表单的服务器。黑客入侵网站不一定很容易,但通常也不值得为此付出努力。一旦安全产品在受感染的网站上检测到恶意活动,就可以将整个域列入黑名单,并且整个活动可能会提前结束。
通过使用Firebase,网络钓鱼者直接利用了Google的云基础架构及其声誉。垃圾邮件过滤器不太可能对Firebase URL进行直接审查,即使报告并删除了一页,骗子也可以相对轻松地设置另一页。
总而言之,网络罪犯似乎找到了一种使攻击更加精简和有效的新方法,而这要由Google来加以抵消。对于搜索引擎巨头而言,将罪犯拒之门外并不是什么新鲜事。不过,其专家现在也需要关注Firebase。