Key takeaways
- Svindlere er i økende grad avhengige av ekte tjenester, som nettstedbyggere, for å være vert for phishing-kampanjer, har forskere oppdaget.
- De mener at bruk av slike legitime tjenester har en tendens til å få disse svindelene til å virke troverdige.
-
Folk kan fortsatt oppdage disse svindelene ved å se etter noen avslørende tegn, foreslår phishing-eksperter.
Bare fordi en legitim tjeneste ber om påloggingsinformasjonen din, betyr det ikke at du ikke blir spilt.
I følge forskere ved Unit 42, cybersikkerhetsarmen til Palo Alto Networks, misbruker nettkriminelle i økende grad sannblå programvare-som-en-tjeneste (SaaS)-plattformer, inkludert ulike nettstedbyggere og skjemabyggere, for å være vert for nettfisking sider. Ved å bruke disse tjenestene over styret hjelper svindlere å gi svindelene en følelse av legitimitet.
"Det er veldig smart fordi de vet at vi ikke kan [blokkliste] slike som Google og andre [teknologiske] giganter," sa Adrien Gendre, Chief Tech and Product Officer hos leverandøren av e-postsikkerhet, Vade Secure, til Lifewire over e-post. "Men til tross for at det er vanskeligere å oppdage phishing når en side er vert på et nettsted med høyt omdømme, er det ikke umulig."
Ekte forfalskninger
Å bruke legitime tjenester for å lure brukere til å overlate påloggingsinformasjonen deres er ikke nytt. Imidlertid har forskere lagt merke til en massiv økning på over 1100 % i bruken av denne strategien mellom juni 2021 og juni 2022. I tillegg til nettsted- og skjemabyggere, utnytter cyberskurkene fildelingsnettsteder, samarbeidsplattformer og mer.
Ifølge forskerne er den økende populariteten til ekte SaaS-tjenester blant nettkriminelle mest fordi sider som er vert for disse tjenestene vanligvis ikke flagges av ulike svindel- og svindelfiltre, verken i nettleseren eller i e-postklienter.
I tillegg er ikke bare disse SaaS-plattformene enklere å bruke enn å lage et nettsted fra bunnen av, men de gjør det også mulig for dem å raskt bytte til en annen phishing-side dersom en skulle bli fjernet av rettshåndhevende organer.
Dette misbruket av genuine tjenester for phishing overrasker ikke Jake, en senior trusseljeger i et trusseletterretningsselskap, som spesialiserer seg på phishing med legitimasjon, og som ikke ønsker å bli identifisert når han etterforsker aktive phishing-kampanjer.
Selv om han er enig i at det vanligvis krever litt mer innsats for å oppdage slikt misbruk, er det ikke umulig, og legger til at disse legitime tjenestene ofte er mer opptatt av å handle på misbruksrapporter, noe som gjør det mye enklere å fjerne skadelige nettsteder.
I en diskusjon med Lifewire over Twitter sa Jake at de fleste phishing-kampanjer, inkludert de som er vert for legitime tjenester, har noen åpenbare signaler for alle som følger med.
"Disse legitime tjenestene har ofte bannere eller bunntekster som trusselaktører ikke kan fjerne, så nettsteder som Wix har et banner øverst, Google Forms har en bunntekst som sier at de aldri skal legge inn passord i skjemaer, osv., " sa Jake.
Eyes Peeled
Bygger på det, sier Gendre at selv om domenet kan være klarert, vil phishing-siden sannsynligvis ha noen anomalier i URL-en og innholdet på selve siden.
Jake er enig, og legger til at for det første vil siden phishing for legitimasjon fortsatt være vert på det misbrukte nettstedet i stedet for tjenesten hvis legitimasjon søkes etter. Hvis du for eksempel finner en side for tilbakestilling av passord for Gmail på nettstedet til en nettstedbygger som Wix, eller en skjemabygger som Google Forms, kan du være trygg på at du har havnet på en phishing-side.
Dessuten, med litt årvåkenhet, kan disse angrepene stoppes, foreslår forskerne. Akkurat som andre phishing-angrep, begynner også dette med en falsk e-post.
"Brukere bør være på vakt mot alle mistenkelige e-poster som bruker tidssensitivt språk for å be en bruker om å ta noen form for hastetiltak," sa Unit42-forskerne.
Gendre mener folks største våpen mot slike angrep er tålmodighet, og forklarer at "folk har en tendens til å åpne og svare på e-poster veldig raskt. Brukere bør ta seg tid til å lese og inspisere e-posten for å finne ut om noe er mistenkelig."
Jake foreslår også at folk ikke klikker på lenker i e-poster og i stedet besøker nettstedet til tjenesten som tilsynelatende har sendt e-posten, enten ved å skrive inn nettadressen direkte eller gjennom en søkemotor.
"Hvis du kan bruke en passordbehandling, kan disse produktene matche mål-URLen med den gjeldende siden du bruker, og hvis de ikke samsvarer, vil den ikke angi passordet ditt, som burde ringe alarmklokkene," sa Jake.
