Hakerzy opracowali nową technikę w atakach phishingowych! Dzięki hostingowi w popularnych chmurach pokroju Google Cloud lub Microsoft Azure, atakujący tworzą strony podszywające się pod znane instytucje, które mogą nie wzbudzać podejrzeń nawet wśród pracowników przeszkolonych w dziedzinie bezpieczeństwa cybernetycznego – ostrzegają analitycy Check Pointa.
Firma Check Point opublikowała niedawno raport pokazujący w jaki sposób cyberprzestępcy wykorzystują dobrze znane usługi w chmurze do infekowania komputerów. Okazuje się, że technikę tę zaobserwowano również w atakach phishingowych, w których do hostowania stron wyłudzających dane wykorzystywane są usługi przechowywania w chmurze.
Jednymi ze znaków ostrzegawczych, na które zwracają uwagę przeszkoleni użytkownicy podczas ataku phishingowego, są podejrzanie wyglądające domeny (np. z błędem w nazwie) lub strony internetowe bez certyfikatu HTTPS, czyli popularnej kłódki wyświetlającej się po lewej stronie paska adresu przeglądarki. Jednak dzięki korzystaniu z dobrze znanych usług w chmurze publicznej, takich jak Google Cloud lub Microsoft Azure do publikowania swoich stron phishingowych, atakujący mogą z łatwością ukryć najłatwiej dostrzegalne oznaki ataku, jednocześnie zwiększając swoje szanse na usidlenie nawet zorientowanych w cyberbezpieczeństwie ofiar.
Taka właśnie była strategia hakerów, w wykrytej przez firmę Check Point kampanii, przeprowadzonej styczniu br. Atak rozpoczął się od dokumentu PDF, który został przesłany na Dysk Google i zawierał łącze do strony phishingowej.
Strona phishingowa, znajdująca się na dysku Google, prosiła użytkownika o zalogowanie się przy użyciu konta Office 365 lub adresu e-mail organizacji. Po wprowadzeniu danych uwierzytelniających użytkownik zostawał przekierowany do prawdziwego raportu PDF opublikowanego przez renomowaną globalną firmę konsultingową. Tymczasem jego dane logowania właśnie znalazły się w posiadaniu przestępców…
Na żadnym z etapów użytkownik mógł nie podejrzewać złych zamiarów, ponieważ strona phishingowa znajdowała się w Google Cloud Storage. Dopiero wyświetlenie jej kodu źródłowego ujawniło, że większość zasobów jest ładowana z witryny internetowej należącej do atakujących.
W tego typu atakach nawet obeznany z zagrożeniami użytkownik może przeoczyć zagrożenie. Atakujący zaczęli bowiem korzystać z Google Cloud Functions, usługi umożliwiającej uruchamianie kodu bezpośrednio w chmurze. W tym przypadku zasoby na stronie phishingowej zostały załadowane z instancji Google Cloud Functions bez ujawniania złośliwych domen atakujących.
Wspomniany projekt hakerski został zatrzymany przez Google’a w styczniu 2020. Z powodu nadużyć phishingowych, Google zablokowało adres URL, a także wszystkie adresy URL powiązane z kampanią.
Incydent ten doskonale ukazuje coraz to większe wysiłki podejmowane przez oszustów i przestępców, aby ukryć swoje złośliwe zamiary.
