Un nuovo metodo di phishing, denominato “Abbiamo la sicurezza”, utilizza Google Firebase Storage per evitare il blocco dai server di posta elettronica e quasi insospettabilmente raggirare gli utenti.
Esiste un nuovo modus operandi emergente e preoccupante nel campo delle operazioni di cyber security. In particolare si tratta di una sottile tattica di phishing nomea “Abbiamo la sicurezza“. Questo metodo non convenzionale utilizza la infrastruttura cloud Google Firebase Storage per ottenere degli URL che non vengono bloccati dai server di posta elettronica. Questa tattica sta puntando i clienti di Zimbra con email fasulle di supporto tecnico, ma potrebbe essere facilmente adattata per ingannare gli utenti di altri servizi o temi.
Uno degli ostacoli principali che gli attacchi di phishing devono superare è quello di riuscire a far arrivare le loro email nella casella di posta dei destinatari. Considerando che i sistemi di sicurezza email possono facilmente rilevare e bloccare i contenuti con link a siti Web sospetti, gli aggressori hanno risolto il problema ospitando i propri siti di phishing su piattaforme affidabili come Firebase. Questa piattaforma di sviluppo di applicazioni di Google fornisce sicurezza e archiviazione nel Google Cloud, rendendo in tal modo più difficile l’individuazione dei siti di phishing.
In questa perniciosa strategia, l’utente riceve un messaggio da un presunto dipartimento di assistenza che richiede la verifica del proprio account, con la minaccia che il servizio subirà un blocco entro le prossime 24 ore. Il link incluso nell’email conduce a una pagina di atterraggio che sembra appartanere al servizio Zimbra, richiedendo le credenziali per il “ripristino” dell’account. In realtà, quest’ultimo passaggio è nient’altro che un trappolone: le credenziali inserite vengono inviate direttamente al vero sito di Phishing C2, responsabile per la raccolta dei dati personali degli ignari utenti.
Il vero sito di Phishing C2 è un dominio pronto all’uso, wehaveitsure.ro, che contiene diverse directory e pagine PHP utilizzate per le richieste HTTP POST.
Purtroppo, questa tecnica di abuso di Google Cloud Storage sta diventando sempre più comune. L’uso di un servizio tanto stimato come Google rende questa truffa particolarmente insidiosa. Campagne come “Abbiamo la sicurezza” cristallizzano l’importanza dell’educazione degli utenti sulle tecniche di ingegneria sociale. Sebbene i truffatori possano trovare il modo di superare le difese tecnologiche, la formazione sulla sicurezza può essere un’arma efficace per insegnare agli utenti come riconoscere e contrastare tentativi di phishing. Come ulteriore precauzione, gli utenti possono segnalare un URL di phishing a Firebase utilizzando il modulo di segnalazione degli abusi di Google.