概要:無料Firebaseが悪用される
Googleの正規インフラを悪用しセキュリティフィルターを回避する新たなフィッシングキャンペーンが確認されています。攻撃者は、Google Firebaseの無料開発者アカウントを作成し、有名ブランドを装った不正なメールを送信しています。Firebaseドメインの信頼性を悪用することで、これらの攻撃メールはユーザーの受信トレイに到達し、通常のスパム検出システムを迂回しています。
攻撃の手口
Google Firebaseは、開発者がモバイルおよびウェブアプリケーションを構築するために使用する人気のあるプラットフォームであり、開発者がソフトウェアをテストできるように無料のアカウントを提供しています。残念ながら、詐欺師たちは、これらのアカウントから送信されたメールが信頼できるGoogleサーバーから発信されていることに気づきました。このキャンペーンでは、攻撃者は無料アカウントを登録し、それらを使用してフィッシングメールを大量に送信しています。これらのメッセージは通常、firebaseapp.comで終わるアドレスから送られます。技術的には正規のGoogleサービスから送信されているため、メールセキュリティゲートウェイはしばしばそれらを安全であると判断します。
このキャンペーンは、主に恐怖と貪欲という2つの心理的トリガーに依存しています。
恐怖を煽る手口
多くの被害者は、銀行口座やオンラインプロファイルが侵害されたと主張する緊急警告を受け取ります。これらのメッセージはしばしば「不正な口座利用」を警告し、アカウントロックアウトを防ぐために即時の対応を要求します。
偽の景品詐欺
他のメールは、無料の高価なアイテムを約束して被害者を誘惑します。これらの偽のプロモーションは、人気のある小売ブランドを模倣し、景品を受け取るためにリンクをクリックするようにユーザーを促します。パロアルトネットワークスが報告したように、ユーザーがこれらのメール内のリンクをクリックすると、ログイン情報やクレジットカード番号などの機密データを盗むように設計された悪意のあるウェブサイトにリダイレクトされます。
侵害の痕跡(IoCs)
セキュリティチームは、メールトラフィック内の特定のパターンに注意を払う必要があります。攻撃者はしばしばFirebaseプラットフォーム上でランダムに生成されたサブドメインを使用します。このキャンペーンで確認された送信元アドレスの例は以下の通りです:
username@app-abcd.firebaseapp.comusername@app-efgh.firebaseapp.comusername@app-ijkl.firebaseapp.com
さらに、これらのメールに含まれるリンクは、外部のフィッシングページにリダイレクトされます。研究者は、clouud.thebatata[.]orgでホストされているものや、rebrand[.]lyを使用した短縮リンクなど、いくつかの悪意のあるURLを特定しています。
対策
安全を保つためには、ユーザーはFirebaseのような信頼できる技術ドメインから送られてきたように見えるメールであっても、未承諾のメールには常に懐疑的であるべきです。送信元アドレスを注意深く確認してください。もしメールが銀行や小売業者からのものだと主張しているにもかかわらず、アドレスがfirebaseapp.comで終わっている場合、それはほぼ間違いなく詐欺です。ネットワーク管理者は、特定されたドメインのトラフィックを監視し、組織が開発にFirebaseの不明なサブドメインを積極的に使用していない場合は、それらのメールをブロックすることを検討することが推奨されます。
元記事: https://gbhackers.com/hackers-exploit-free-firebase-accounts/