Íme, hogy a hackerek hogyan használják a Google Firebase tároló URL-eit az emberek átverésére
A számítógépes bűnözők számára a felhasználó bejelentkezési adatainak ellopása vagy rosszindulatú programokkal való megfertőzése nem más, mint üzleti tevékenység, és mint minden vállalkozás, a saját kihívásait is bemutatja. A hackerek folyamatosan próbálják optimalizálni illegális műveleteiket és hatékonyságukat növelni. Ennek megkísérlésére az adathalász csapatok elkezdték a Google Firebase URL-címek használatát a Trustwave kutatói által megfigyelt legutóbbi kampányokban.
Table of Contents
Az adathalászok visszaélnek a Google Firebase platformjával a bejelentkezési adatok begyűjtése érdekében
A Firebase egy olyan mobil és webes alkalmazások fejlesztési platformja, amelyet a Google 2014-ben vásárolt meg, és most közvetlenül kapcsolódik a keresőmotor-óriás hatalmas felhőalapú tárolási infrastruktúrájához. A csalók rájöttek, hogy ez tökéletesvé teszi az adathalász oldalak tárolását.
A Trustwave kutatói szerint az adathalászok számos különféle szolgáltatót megszemélyesítettek, és e-maileikben számos forgatókönyvet készítettek. A cél azonban mindig ugyanaz - megtéveszti a felhasználókat egy e-mailben található linkre kattintással, és egy adathalász oldalra vezette őket, amely a Firebase-en található.
A meggyőző e-mailek sok felhasználót elkaphatnak
Az adathalászok sok erőfeszítést tettek az e-mailekbe. A Trustwave által közzétett példák közül az elsők között észrevehető nyelvtani és helyesírási hibák nyilvánvaló hiánya, amelyet gyakran összekapcsolunk az adathalász kampányokkal. Ahogyan a kutatók rámutattak, a betűtípusok és a formázás bizonyos helyeken nem tökéletes, de a csalók nyilvánvalóan azt remélik, hogy szociális mérnöki trükköik elég erősek lesznek ennek kompenzálására.
Valójában néhány forgatókönyv meglehetősen hihető. Mint már említettem, az adathalászok nem másként lépnek fel egyetlen szolgáltatóval, és nem egyetlen felhasználói csoportot céloznak meg. Mindazonáltal úgy tűnik, hogy az e-mailek többsége különféle méretű szervezetek alkalmazottainak szól.
A Microsoft nevét meglehetősen széles körben használják a kampányok során. Néhány támadás során a csalók megpróbálják meggyőzni a felhasználót, hogy néhány e-mailt nem kézbesítettek a szerver áttelepítése miatt. Másokban az áldozatnak azt mondják, hogy egyes bejövő üzeneteket tévesen spamnek jelöltek meg, ezért ezeket felül kell vizsgálni. Egy újabb kampányban a felhasználót arra kérik, hogy frissítse fiókját, hogy a webmail portál új verzióját használhassák.
A koronavírus pandémiát szintén alkalmazták. A Trustwave egyik képernyőképe azt mutatja, hogy a csalók megkísérelik megszemélyesíteni az áldozat munkáltatójának könyvelőit. A felhasználónak azt mondják, hogy ki kell töltenie a fizetési űrlapot ahhoz, hogy megkapja a házi munkáról szóló irányelvvel kapcsolatos fennálló kifizetést. Természetesen sokan képesek lesznek lyukakat dugni a hackerek álmodozott forgatókönyvein, de nem nehéz megérteni, hogy tapasztalatlan és kevésbé tech-hozzáértő felhasználók eshetnek át a csalásokkal.
Miért választottak a csalók a Firebase-t?
Ezeknek a kampányoknak a figyelemre méltó jellemzője nem a szociális mérnöki munka, hanem a Firebase használata. A számítógépes bűnözők gyakran tárolják az adathalász oldalát olyan webhelyeken, amelyeket előzetesen veszélyeztetnek. Ilyen módon nem kell új domaineket regisztrálniuk, és nem gondolkodniuk kell a rosszindulatú bejelentkezési űrlapokat kiszolgáló szerverek beállításáról. A webhelyek feltörése nem feltétlenül könnyű, és gyakran egyszerűen nem éri meg az erőfeszítést. Amint a biztonsági termékek rosszindulatú tevékenységeket észlelnek a veszélyeztetett webhelyen, a teljes domain feketelistára kerülhet, és az egész kampány idő előtt véget érhet.
A Firebase használatával az adathalászok közvetlenül kihasználják a Google felhőinfrastruktúráját és hírnevét. A spamszűrők kevésbé valószínű, hogy közvetlen ellenőrzés alá helyezik a Firebase URL-eket, és még ha egy oldalt is jelentést tesznek és eltávolítanak, a bűnözők viszonylag könnyedén beállíthatnak egy másik oldalt.
Mindent egybevetve úgy tűnik, hogy a számítógépes bűnözők új módszert találtak a támadások ésszerűbbé és hatékonyabbá tételére, és a Google feladata, hogy ellensúlyozza. A bűnözőknek a platformon kívül tartása nem újdonság a keresőmotor koloszusában. Szakértőinek most a Firebase-re is összpontosítania kell.
