Key takeaways
- Svindlere er i stigende grad afhængige af ægte tjenester, såsom webstedsbyggere, til at være vært for phishing-kampagner, har forskere opdaget.
- De mener, at brug af sådanne legitime tjenester har en tendens til at få disse svindelnumre til at virke troværdige.
-
Folk kan stadig opdage disse svindelnumre ved at lede efter nogle afslørende tegn, foreslår phishing-eksperter.
Bare fordi en legitim tjeneste beder om dine loginoplysninger, betyder det ikke, at du ikke bliver spillet.
Ifølge forskere ved Unit 42, Palo Alto Networks' cybersikkerhedsarm, misbruger cyberkriminelle i stigende grad ægte-blå software-as-a-service (SaaS) platforme, herunder forskellige webstedsbyggere og formularer, til at hoste phishing sider. Ved at bruge disse overbordstjenester hjælper svindlere med at give deres svindel en følelse af legitimitet.
"Det er meget smart, fordi de ved, at vi ikke kan [blokliste] folk som Google og andre [tech]-giganter," sagde Adrien Gendre, Chief Tech and Product Officer hos leverandøren af e-mailsikkerhed, Vade Secure, til Lifewire over e-mail. "Men på trods af, at det er sværere at opdage phishing, når en side er hostet på et websted med højt omdømme, er det ikke umuligt."
ægte forfalskninger
At bruge legitime tjenester til at narre brugere til at udlevere deres loginoplysninger er ikke nyt. Forskere har dog bemærket en massiv stigning på over 1100 % i brugen af denne strategi mellem juni 2021 og juni 2022. Udover hjemmeside- og formularbyggere udnytter cyberskurkene fildelingswebsteder, samarbejdsplatforme og mere.
Ifølge forskerne skyldes den stigende popularitet af ægte SaaS-tjenester blandt cyberkriminelle hovedsagelig, at sider, der hostes i disse tjenester, norm alt ikke markeres af forskellige svindel- og svindelfiltre, hverken i webbrowseren eller i e-mail-klienter.
Ydermere er disse SaaS-platforme ikke kun nemmere at bruge end at oprette et websted fra bunden, men de gør det også muligt for dem hurtigt at skifte til en anden phishing-side, hvis en sådan skulle blive fjernet af retshåndhævende myndigheder.
Dette misbrug af ægte tjenester til phishing overrasker ikke Jake, en senior trusseljæger hos et trusselsefterretningsfirma, som er specialiseret i legitimationsphishing, og som ikke ønsker at blive identificeret, da han efterforsker aktive phishing-kampagner.
Selvom han er enig i, at det norm alt kræver lidt mere indsats at opdage sådan misbrug, er det ikke umuligt, og tilføjer, at disse legitime tjenester ofte er mere ivrige efter at reagere på misbrugsrapporter, hvilket gør det meget nemmere at fjerne ondsindede websteder.
I en diskussion med Lifewire over Twitter sagde Jake, at de fleste phishing-kampagner, inklusive dem, der hostes på lovlige tjenester, har nogle åbenlyse signaler for alle, der er opmærksomme.
"Disse legitime tjenester har ofte bannere eller sidefødder, som trusselsaktører ikke kan fjerne, så websteder som Wix har et banner øverst, Google Forms har en sidefod, der siger, at de aldrig skal indtaste adgangskoder i formularer osv., " sagde Jake.
Eyes Peeled
Bygger på det, siger Gendre, at selvom domænet kan være tillid til, vil phishing-siden sandsynligvis have nogle uregelmæssigheder i URL'en og indholdet af selve siden.
Jake er enig og tilføjer, at for det første vil sidens phishing for legitimationsoplysninger stadig blive hostet på det misbrugte websted i stedet for den tjeneste, hvis legitimationsoplysninger søges efter. For eksempel, hvis du finder en side til nulstilling af adgangskode til Gmail hostet på webstedet for en webstedsbygger som Wix, eller en formularbygger som Google Forms, kan du være sikker på, at du er landet på en phishing-side.
Desuden, med lidt årvågenhed, kan disse angreb stoppes i deres bud, foreslår forskerne. Ligesom andre phishing-angreb begynder også dette med en svigagtig e-mail.
"Brugere bør være på vagt over for mistænkelige e-mails, der bruger tidsfølsomt sprog til at bede en bruger om at tage en form for presserende handling," sagde Unit42-forskerne.
Gendre mener, at folks største våben mod sådanne angreb er tålmodighed, og forklarer, at "folk har en tendens til at åbne og reagere på e-mails meget hurtigt. Brugere bør tage sig tid til at læse og inspicere e-mailen for at afgøre, om noget er mistænkeligt."
Jake foreslår også, at folk ikke klikker på links i e-mails og i stedet besøger webstedet for den tjeneste, der tilsyneladende har sendt e-mailen, enten ved at indtaste dens URL direkte eller gennem en søgemaskine.
"Hvis du er i stand til at bruge en adgangskodeadministrator, er disse produkter i stand til at matche mål-URL'en med den aktuelle side, du bruger, og hvis de ikke matcher, vil den ikke indtaste din adgangskode, som burde slå alarmklokkerne," sagde Jake.
