Фишинг через бесплатные учётные записи Firebase: обход фильтров Google
Недавний отчет выявил серию фишинг-кампаний, в которых злоумышленники массово используют платформу Firebase от Google. Регистрируясь в бесплатных учетных записях, они размещают вредоносный контент и распространяют фишинговые письма, полагаясь на доверие к инфраструктуре Google, что делает их атаки труднее обнаружимыми стандартными средствами защиты.
«злоумышленники используют законную инфраструктуру Google, что затрудняет системам безопасности выявление и блокирование вредоносных действий.»
Как работает эта тактика
Суть приема проста, но эффективна: злоумышленники создают бесплатные аккаунты на Firebase и размещают там страницы или ресурсы, используемые в фишинговых рассылках. Благодаря размещению на сервисах Google такие ресурсы получают более высокий уровень доверия со стороны систем фильтрации, чем обычные малознакомые домены.
- Регистрация бесплатных учетных записей Firebase: злоумышленники получают доступ к возможностям хостинга и другим сервисам.
- Размещение фишингового контента: страницы, формы сбора учетных данных, перенаправления и вложения размещаются на инфраструктуре Firebase.
- Использование доверия к сервисам Google: авторитет доменов Google снижает вероятность блокировки со стороны почтовых и веб-фильтров.
- Обход традиционных мер безопасности: фильтры, ориентированные на маловероятные домены, менее эффективны против ресурсов на Firebase.
Почему это представляет угрозу
Эта тактика демонстрирует изменение динамики фишинг-атак: злоумышленники переходят от явного использования сомнительных доменов к эксплуатации легитимной, широко используемой инфраструктуры. В результате:
- традиционные правила блокировки по репутации домена работают хуже;
- повышается вероятность успешного обмана конечного пользователя;
- увеличивается нагрузка на аналитические команды SOC при поиске и блокировке вредоносных ресурсов.
Практические рекомендации для организаций и частных лиц
Чтобы снизить риски, связанные с такими кампаниями, экспертное сообщество рекомендует сочетать технические меры и обучение пользователей:
- Усилить почтовую фильтрацию: применять многоуровневые фильтры, включающие поведенческий анализ, проверку ссылок в контенте и анализ URL-цепочек.
- Использовать и контролировать политики аутентификации: SPF, DKIM, DMARC — и мониторинг изменений в этих записях.
- Анализ и блокировка подозрительных ресурсов на облачных платформах: настройка правил для проверки внешних ссылок, мониторинг использования Cloud-ресурсов в корпоративной сети.
- Обучение сотрудников: регулярные тренинги по распознаванию фишинг-писем и процедурам сообщения о подозрительных сообщениях.
- Процедуры реагирования: оперативное удаление и блокировка обнаруженных вредоносных ссылок, обмен IOC (Indicators of Compromise) с отраслевыми партнерами.
Вывод
Использование легитимной инфраструктуры, такой как Firebase, для распространения фишинга — показатель эволюции киберугроз. Это заставляет пересматривать подходы к защите: одной лишь блокировки по доменной репутации недостаточно. Необходимы адаптивные фильтры, проактивный мониторинг Cloud-активности и постоянное обучение пользователей. Только сочетание технологий и человеческой бдительности позволит эффективно распознавать и снижать такие риски.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
