Key takeaways
- Bedragare förlitar sig alltmer på genuina tjänster, som webbplatsbyggare, för att vara värd för nätfiskekampanjer, har forskare upptäckt.
- De tror att användning av sådana legitima tjänster tenderar att få dessa bedrägerier att framstå som trovärdiga.
-
Folk kan fortfarande upptäcka dessa bedrägerier genom att leta efter några tecken, föreslår nätfiskeexperter.
Bara för att en legitim tjänst ber om dina inloggningsuppgifter betyder det inte att du inte spelas.
Enligt forskare vid Unit 42, Palo Alto Networks cybersäkerhetsarm, missbrukar cyberbrottslingar i allt högre grad saaS-plattformar (SaaS), inklusive olika webbplatsbyggare och formulärbyggare, för att vara värd för nätfiske sidor. Genom att använda dessa ovannämnda tjänster hjälper bedragare att ge sina bedrägerier legitimitet.
"Det är väldigt smart eftersom de vet att vi inte kan [blocklista] sådana som Google och andra [tech] jättar", sa Adrien Gendre, Chief Tech and Product Officer hos leverantören av e-postsäkerhet, Vade Secure, till Lifewire över e-post. "Men trots att det är svårare att upptäcka nätfiske när en sida finns på en webbplats med högt anseende är det inte omöjligt."
Äkta förfalskningar
Att använda legitima tjänster för att lura användare att lämna över sina inloggningsuppgifter är inte nytt. Forskare har dock noterat en massiv ökning med över 1100 % i användningen av denna strategi mellan juni 2021 och juni 2022. Förutom webbplats- och formulärbyggare, utnyttjar cyberskurkarna fildelningssajter, samarbetsplattformar och mer.
Enligt forskarna beror den ökande populariteten för äkta SaaS-tjänster bland cyberbrottslingar mest på att sidor som finns i dessa tjänster vanligtvis inte flaggas av olika bedrägeri- och bedrägerifilter, varken i webbläsaren eller i e-postklienter.
Dessutom är dessa SaaS-plattformar inte bara enklare att använda än att skapa en webbplats från grunden, utan de gör det också möjligt för dem att snabbt byta till en annan nätfiskesida om en skulle tas bort av brottsbekämpande myndigheter.
Det här missbruket av äkta tjänster för nätfiske överraskar inte Jake, en senior hotjägare på ett hotintelligensföretag, som specialiserat sig på nätfiske och som inte vill bli identifierad när han undersöker aktiva nätfiskekampanjer.
Även om han håller med om att det vanligtvis kräver lite mer ansträngning att upptäcka sådant missbruk, är det inte omöjligt, och tillägger att dessa legitima tjänster ofta är mer angelägna om att agera på missbruksrapporter, vilket gör det mycket lättare att ta bort skadliga webbplatser.
I en diskussion med Lifewire över Twitter sa Jake att de flesta nätfiskekampanjer, inklusive de som hålls på legitima tjänster, har några uppenbara kontrolltecken för alla som är uppmärksamma.
Dessa legitima tjänster har ofta banners eller sidfötter som hotaktörer inte kan ta bort, så sajter som Wix har en banner överst, Google Forms har en sidfot som säger att man aldrig ska ange lösenord i formulär, etc., sa Jake.
Eyes Peeled
Gendre bygger vidare på det och säger att även om domänen kan vara betrodd, kommer nätfiskesidan sannolikt att ha vissa anomalier i webbadressen och innehållet på själva sidan.
Jake håller med, och tillägger att till att börja med kommer sidans nätfiske för autentiseringsuppgifter fortfarande att finnas på den missbrukade webbplatsen snarare än tjänsten vars autentiseringsuppgifter söks. Om du till exempel hittar en sida för lösenordsåterställning för Gmail på webbplatsen för en webbplatsbyggare som Wix, eller en formulärbyggare som Google Forms, kan du vara säker på att du har hamnat på en nätfiskesida.
Dessutom, med lite vakenhet, kan dessa attacker stoppas i deras bud, föreslår forskarna. Precis som andra nätfiskeattacker börjar även denna med ett bedrägligt e-postmeddelande.
"Användare bör vara försiktiga med alla misstänkta e-postmeddelanden som använder tidskänsligt språk för att uppmana en användare att vidta någon form av brådskande åtgärd", sa Unit42-forskarna.
Gendre anser att människors största vapen mot sådana attacker är tålamod, och förklarar att "människor tenderar att öppna och svara på e-postmeddelanden mycket snabbt. Användare bör ta sig tid att läsa och inspektera e-postmeddelandet för att avgöra om något är misstänkt."
Jake föreslår också att folk inte klickar på länkar i e-postmeddelanden och istället besöker webbplatsen för tjänsten som uppenbarligen har skickat e-postmeddelandet, antingen genom att ange webbadressen direkt eller via en sökmotor.
"Om du kan använda en lösenordshanterare kan dessa produkter matcha måladressen med den aktuella sidan du använder, och om de inte matchar kommer den inte att ange ditt lösenord, som borde ringa varningsklockorna", sa Jake.
