Jak oszuści „łowią” w chmurach…

cyberbezpieczeństwo

Hakerzy opracowali nową technikę w atakach phishingowych! Dzięki hostingowi w popularnych chmurach pokroju Google Cloud lub Microsoft Azure, atakujący tworzą strony podszywające się pod znane instytucje, które mogą nie wzbudzać podejrzeń nawet wśród pracowników przeszkolonych w dziedzinie bezpieczeństwa cybernetycznego – ostrzegają analitycy Check Pointa.

Firma Check Point opublikowała niedawno raport pokazujący w jaki sposób cyberprzestępcy wykorzystują dobrze znane usługi w chmurze do infekowania komputerów. Okazuje się, że technikę tę zaobserwowano również w atakach phishingowych, w których do hostowania stron wyłudzających dane wykorzystywane są usługi przechowywania w chmurze.

Jednymi ze znaków ostrzegawczych, na które zwracają uwagę przeszkoleni użytkownicy podczas ataku phishingowego, są podejrzanie wyglądające domeny (np. z błędem w nazwie) lub strony internetowe bez certyfikatu HTTPS, czyli popularnej kłódki wyświetlającej się po lewej stronie paska adresu przeglądarki. Jednak dzięki korzystaniu z dobrze znanych usług w chmurze publicznej, takich jak Google Cloud lub Microsoft Azure do publikowania swoich stron phishingowych, atakujący mogą z łatwością ukryć najłatwiej dostrzegalne oznaki ataku, jednocześnie zwiększając swoje szanse na usidlenie nawet zorientowanych w cyberbezpieczeństwie ofiar.

Taka właśnie była strategia hakerów, w wykrytej przez firmę Check Point kampanii, przeprowadzonej styczniu br. Atak rozpoczął się od dokumentu PDF, który został przesłany na Dysk Google i zawierał łącze do strony phishingowej.
Strona phishingowa, znajdująca się na dysku Google, prosiła użytkownika o zalogowanie się przy użyciu konta Office 365 lub adresu e-mail organizacji. Po wprowadzeniu danych uwierzytelniających użytkownik zostawał przekierowany do prawdziwego raportu PDF opublikowanego przez renomowaną globalną firmę konsultingową. Tymczasem jego dane logowania właśnie znalazły się w posiadaniu przestępców…

Na żadnym z etapów użytkownik mógł nie podejrzewać złych zamiarów, ponieważ strona phishingowa znajdowała się w Google Cloud Storage. Dopiero wyświetlenie jej kodu źródłowego ujawniło, że większość zasobów jest ładowana z witryny internetowej należącej do atakujących.

W tego typu atakach nawet obeznany z zagrożeniami użytkownik może przeoczyć zagrożenie. Atakujący zaczęli bowiem korzystać z Google Cloud Functions, usługi umożliwiającej uruchamianie kodu bezpośrednio w chmurze. W tym przypadku zasoby na stronie phishingowej zostały załadowane z instancji Google Cloud Functions bez ujawniania złośliwych domen atakujących.

Wspomniany projekt hakerski został zatrzymany przez Google’a w styczniu 2020. Z powodu nadużyć phishingowych, Google zablokowało adres URL, a także wszystkie adresy URL powiązane z kampanią.

Incydent ten doskonale ukazuje coraz to większe wysiłki podejmowane przez oszustów i przestępców, aby ukryć swoje złośliwe zamiary.