Фишинг через бесплатные учётные записи Firebase: обход фильтров Google

Недавний отчет выявил серию фишинг-кампаний, в которых злоумышленники массово используют платформу Firebase от Google. Регистрируясь в бесплатных учетных записях, они размещают вредоносный контент и распространяют фишинговые письма, полагаясь на доверие к инфраструктуре Google, что делает их атаки труднее обнаружимыми стандартными средствами защиты.

«злоумышленники используют законную инфраструктуру Google, что затрудняет системам безопасности выявление и блокирование вредоносных действий.»

Как работает эта тактика

Суть приема проста, но эффективна: злоумышленники создают бесплатные аккаунты на Firebase и размещают там страницы или ресурсы, используемые в фишинговых рассылках. Благодаря размещению на сервисах Google такие ресурсы получают более высокий уровень доверия со стороны систем фильтрации, чем обычные малознакомые домены.

• Регистрация бесплатных учетных записей Firebase: злоумышленники получают доступ к возможностям хостинга и другим сервисам.
• Размещение фишингового контента: страницы, формы сбора учетных данных, перенаправления и вложения размещаются на инфраструктуре Firebase.
• Использование доверия к сервисам Google: авторитет доменов Google снижает вероятность блокировки со стороны почтовых и веб-фильтров.
• Обход традиционных мер безопасности: фильтры, ориентированные на маловероятные домены, менее эффективны против ресурсов на Firebase.

Почему это представляет угрозу

Эта тактика демонстрирует изменение динамики фишинг-атак: злоумышленники переходят от явного использования сомнительных доменов к эксплуатации легитимной, широко используемой инфраструктуры. В результате:

• традиционные правила блокировки по репутации домена работают хуже;
• повышается вероятность успешного обмана конечного пользователя;
• увеличивается нагрузка на аналитические команды SOC при поиске и блокировке вредоносных ресурсов.

Практические рекомендации для организаций и частных лиц

Чтобы снизить риски, связанные с такими кампаниями, экспертное сообщество рекомендует сочетать технические меры и обучение пользователей:

• Усилить почтовую фильтрацию: применять многоуровневые фильтры, включающие поведенческий анализ, проверку ссылок в контенте и анализ URL-цепочек.
• Использовать и контролировать политики аутентификации: SPF, DKIM, DMARC — и мониторинг изменений в этих записях.
• Анализ и блокировка подозрительных ресурсов на облачных платформах: настройка правил для проверки внешних ссылок, мониторинг использования Cloud-ресурсов в корпоративной сети.
• Обучение сотрудников: регулярные тренинги по распознаванию фишинг-писем и процедурам сообщения о подозрительных сообщениях.
• Процедуры реагирования: оперативное удаление и блокировка обнаруженных вредоносных ссылок, обмен IOC (Indicators of Compromise) с отраслевыми партнерами.

Вывод

Использование легитимной инфраструктуры, такой как Firebase, для распространения фишинга — показатель эволюции киберугроз. Это заставляет пересматривать подходы к защите: одной лишь блокировки по доменной репутации недостаточно. Необходимы адаптивные фильтры, проактивный мониторинг Cloud-активности и постоянное обучение пользователей. Только сочетание технологий и человеческой бдительности позволит эффективно распознавать и снижать такие риски.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинг через бесплатные учётные записи Firebase: обход фильтров Google".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.