Mga Key Takeaway
- Lalong umaasa ang mga manloloko sa mga tunay na serbisyo, tulad ng mga tagabuo ng website, upang mag-host ng mga phishing campaign, natuklasan ng mga mananaliksik.
- Naniniwala sila na ang paggamit ng gayong mga lehitimong serbisyo ay may posibilidad na gawing kapani-paniwala ang mga scam na ito.
-
Makikita pa rin ng mga tao ang mga scam na ito sa pamamagitan ng paghahanap ng ilang palatandaan, magmungkahi ng mga eksperto sa phishing.
Hindi nangangahulugan na ang isang lehitimong serbisyo ay humihingi ng iyong mga kredensyal sa pag-log in na hindi ka nililigawan.
Ayon sa mga mananaliksik sa Unit 42, ang cybersecurity arm ng Palo Alto Networks, patuloy na inaabuso ng mga cybercriminal ang mga true-blue software-as-a-service (SaaS) platform, kabilang ang iba't ibang website builder at form builder, para mag-host ng phishing mga pahina. Ang paggamit sa mga serbisyong ito sa itaas ay nakakatulong sa mga manloloko na maipakita ang pagiging lehitimo sa kanilang mga scam.
"Napakatalino nito dahil alam nilang hindi natin maaaring [blocklist] ang mga tulad ng Google at iba pang [tech] na higante, " Adrien Gendre, Chief Tech and Product Officer with email security vendor, Vade Secure, told Lifewire over email. "Ngunit sa kabila ng katotohanang mas mahirap matukoy ang phishing kapag naka-host ang isang page sa isang website na may mataas na reputasyon, hindi ito imposible."
Genuine Fakes
Ang paggamit ng mga lehitimong serbisyo upang linlangin ang mga user na ibigay ang kanilang mga kredensyal sa pag-log in ay hindi na bago. Gayunpaman, napansin ng mga mananaliksik ang napakalaking pagtaas ng higit sa 1100% sa paggamit ng diskarteng ito sa pagitan ng Hunyo 2021 at Hunyo 2022. Bukod sa mga tagabuo ng website at form, sinasamantala ng mga cyber crook ang mga site sa pagbabahagi ng file, mga platform ng pakikipagtulungan, at higit pa.
Ayon sa mga mananaliksik, ang tumataas na katanyagan ng mga tunay na serbisyo ng SaaS sa mga cybercriminal ay kadalasang dahil ang mga page na naka-host sa mga serbisyong ito ay hindi karaniwang na-flag ng iba't ibang panloloko at mga filter ng scam, ni sa web browser o sa mga email client.
Higit pa rito, hindi lamang mas madaling gamitin ang mga SaaS platform na ito kaysa gumawa ng website mula sa simula, ngunit binibigyang-daan din nila ang mga ito na mabilis na lumipat sa ibang page ng phishing kung sakaling alisin ng mga ahensyang nagpapatupad ng batas ang isa.
Ang pang-aabusong ito ng mga tunay na serbisyo para sa phishing ay hindi nakakagulat kay Jake, isang Senior Threat Hunter sa isang kumpanya ng Threat Intelligence, na dalubhasa sa kredensyal na phishing, at ayaw na makilala habang sinisiyasat niya ang mga aktibong kampanya sa phishing.
Bagama't sumasang-ayon siya na karaniwang nangangailangan ng kaunting pagsisikap upang matukoy ang gayong pang-aabuso, hindi imposible, at idinagdag na ang mga lehitimong serbisyong ito ay madalas na masigasig na kumilos sa mga ulat ng pang-aabuso, na ginagawang mas madaling alisin ang mga nakakahamak na site.
Sa isang talakayan sa Lifewire sa Twitter, sinabi ni Jake na karamihan sa mga kampanya sa phishing, kabilang ang mga naka-host sa mga lehitimong serbisyo, ay may ilang malinaw na palatandaan para sa sinumang nagbibigay ng pansin.
"Ang mga lehitimong serbisyong ito ay kadalasang may mga banner o footer na hindi maalis ng mga banta ng aktor, kaya ang mga site gaya ng Wix ay may banner sa itaas, ang mga Google form ay may footer na nagsasaad na hindi kailanman maglalagay ng mga password sa mga form, atbp., " sabi ni Jake.
Nabalatan ang mga Mata
Dahil dito, sinabi ni Gendre na bagama't mapagkakatiwalaan ang domain, malamang na magkakaroon ng ilang anomalya ang pahina sa phishing sa URL at sa nilalaman mismo ng pahina.
Sumasang-ayon si Jake, at idinagdag na, bilang panimula, iho-host pa rin ang page phishing para sa mga kredensyal sa inabusong website sa halip na sa serbisyo kung saan hinahanap ang mga kredensyal. Halimbawa, kung makakita ka ng page sa pag-reset ng password para sa Gmail na naka-host sa website ng isang website builder tulad ng Wix, o isang form builder tulad ng Google Forms, makatitiyak kang nakarating ka sa isang phishing page.
Higit pa rito, na may kaunting pagkaalerto, ang mga pag-atakeng ito ay maaaring pigilin sa kanilang bid, iminumungkahi ng mga mananaliksik. Katulad ng iba pang pag-atake sa phishing, nagsisimula rin ang isang ito sa isang mapanlinlang na email.
"Dapat mag-ingat ang mga user sa anumang mga kahina-hinalang email na gumagamit ng time-sensitive na wika para i-prompt ang isang user na gumawa ng ilang uri ng agarang aksyon," sabi ng mga mananaliksik ng Unit42.
Naniniwala si Gendre na ang pinakamalaking sandata ng mga tao laban sa gayong mga pag-atake ay ang pasensya, na nagpapaliwanag na "ang mga tao ay may posibilidad na magbukas at tumugon sa mga email nang napakabilis. Dapat maglaan ng oras ang mga user na basahin at suriin ang email upang matukoy kung may kahina-hinala."
Si Jake rin, ay nagmumungkahi na ang mga tao ay huwag mag-click sa mga link sa mga email at sa halip ay bisitahin ang website ng serbisyo na tila nagpadala ng email, alinman sa pamamagitan ng direktang paglalagay ng URL nito o sa pamamagitan ng isang search engine.
"Kung nagagawa mong gumamit ng tagapamahala ng password, magagawa ng mga produktong ito na itugma ang target na URL sa kasalukuyang page na ginagamit mo, at kung hindi tumugma ang mga ito, hindi nito ilalagay ang iyong password, na dapat magpaalarma," sabi ni Jake.