Azonosítólopás okosba
Cofense elemzése szerint a támadók egyre gyakrabban használják a Vercel infrastruktúráját credential phishing kampányokhoz, mivel a platform legitim fejlesztői és hosting szolgáltatásként magas bizalmi szinttel rendelkezik, és a *.vercel.app domainek sok esetben átjutnak a hagyományos szűrőkön.
A kampányok során a támadók Vercelen hosztolt phishing oldalakat telepítenek, amelyek vizuálisan legitim login felületeket imitálnak, például Microsoft 365, LinkedIn vagy Meta szolgáltatásokat. A phishing infrastruktúra jellemzően HTTPS-t használ és valós cloud platformon fut, ami növeli a hitelességet és csökkenti a felhasználói gyanút.
A Cofense szerint a támadási modell egyik kulcseleme a trusted platform abuse, a támadók nem saját, könnyen blokkolható infrastruktúrát építenek, hanem legitim SaaS és cloud szolgáltatásokat használnak ki adathalász célra. Ez különösen hatékony, mert az e-mail gatewayek és reputációs rendszerek sok esetben megbízhatónak értékelik az ilyen domaineket.
A felhasználó először egy legitimnek tűnő redirect vagy dokumentummegosztási oldalra jut, majd innen kerül a Vercelen hosztolt credential harvesting oldalra. Egyes kampányok MFA tokenek és session cookie-k megszerzésére is képesek, így nemcsak jelszólopás, hanem teljes hozzáférés átvétel valósulhat meg.
