Geral 3min de Leitura - 22 de maio de 2020

Cibercriminosos usam Google Firebase como tática de phishing

ícones de aplicativos do Google e e-mail. O aplicativo do Google representa o Google Firebase.

This post is also available in: Português

Recentemente surgiram várias campanhas de phishing usando as URLs de armazenamento do Google Firebase, mostrando que os cibercriminosos continuam aproveitando a reputação da infraestrutura de nuvem do Google para enganar as vítimas utilizando gateways de e-mail seguros.

O Google Firebase é uma plataforma de desenvolvimento para aplicativos móveis e da Web.

Enquanto isso, o Firebase Storage fornece uploads e downloads de arquivos seguros para aplicativos Firebase. Usando a API de armazenamento Firebase, as empresas podem armazenar dados em um bucket de armazenamento em nuvem do Google.

De acordo com o pesquisador da Trustwave, Fahim Abbasi, em uma análise divulgada na semana passada, o esforço de phishing começa com e-mails de spam que incentivam os destinatários a clicar em um link do Firebase dentro do e-mail para visitar o conteúdo prometido.

Caso os destinatários cliquem no link, eles serão direcionados para uma suposta página de login (principalmente para aplicativos do Office 365, Outlook ou bancário) e solicitados a inserir suas credenciais – as quais, é claro, são enviadas diretamente aos cibercriminosos.

Abbasi diz:

“O Credencial Phishing é uma ameaça real para as empresas em todo o mundo. Os cibercriminosos estão encontrando maneiras inteligentes e inovadoras de atrair as vítimas para coletar secretamente suas credenciais para entrar em uma organização e promover ações maliciosas”.

A maneira inovadora, nesse caso, trata-se de usarem o link Firebase.

Karl Sigler, gerente de inteligência sênior do Spiderlabs da Trustwave disse:

“Como está usando o Google Cloud Storage, as páginas da Web de captura de credenciais hospedadas no serviço têm mais chances de passar por proteções de segurança como o Secure E-mail Gateways devido à reputação do Google e à grande base de usuários válidos.

O uso da infraestrutura de nuvem está aumentando entre os cibercriminosos, a fim de capitalizar a reputação e os usos válidos desses serviços. Eles tendem a não ser sinalizados imediatamente pelos controles de segurança apenas devido ao URL”.

As campanhas estão circulando globalmente, em uma variedade de indústrias, mas, segundo Sigler, a maioria dos “hits” ocorreu na Europa e na Austrália.

Ele ainda acrescenta:

“A maioria dos e-mails que vimos foram do final de março e meados de abril, mas vimos amostras como parte dessa campanha desde fevereiro e até meados de maio. Embora essas táticas de recuperação de serviços válidos na nuvem provavelmente remontem aos dias em que esses serviços foram inventados, essa é uma tendência atual e ativa”.

Os principais temas para atrair as vítimas incluem faturas de pagamento, extorsões para atualizar contas de e-mail, avisos para liberar mensagens pendentes, instigando os destinatários a verificar contas, avisos de erros de conta, e-mails de alteração de senha e muito mais.

Os golpistas usaram também a pandemia da COVID-19 e os serviços bancários pela Internet como uma desculpa para atrair as vítimas a clicar no formulário de pagamento de fornecedor falso que leva à página de phishing hospedada no Firebase Storage.

As mensagens de phishing são convincentes, as imperfeições são sutis, mas podem alertar as vítimas de que há algo errado, como, por exemplo, alguns gráficos ruins.

“Os cibercriminosos estão constantemente desenvolvendo suas técnicas e ferramentas para transmitir secretamente suas mensagens a vítimas”, disse Abbasi. “Nesta campanha, os atores de ameaças aproveitam a reputação e o serviço da infraestrutura do Google Cloud para realizar phishing incorporando URLs de armazenamento do Google Firebase em e-mails de phishing”.

É uma tendência contínua usar o Google para dar um ar de legitimidade. No início do ano, surgiu um ataque que usa caracteres homográficos para representar nomes de domínio do Google e lançar sites convincentes, mas maliciosos.

Em agosto de 2019, uma campanha direcionada de caça submarina atingiu uma organização no setor de energia – isso depois de usar o Google Drive para contornar a pilha de segurança de e-mail da Microsoft.

A campanha utilizou o nome do CEO da empresa, enviando e-mail através do Google Drive com o objetivo de compartilhar uma mensagem importante com os destinatários.

Segundo Sigler:

“Mais uma vez, devido aos usos válidos e à grande base de usuários desses serviços, muitos desses e-mails de phishing podem escapar das falhas dos controles de segurança que colocamos em prática. Educar os usuários sobre essas táticas ajuda a fornecer uma defesa profunda contra essas técnicas quando elas atingem a caixa de entrada da vítima”.

Você sabe como evitar cair em golpes aplicados pelos cibercriminosos? Saiba como se proteger de ataques phishing aqui.

Via: ThreatPost.

This post is also available in: Português