文章总结： 黑客利用Firebase免费开发者账号托管钓鱼页面，通过继承Google域名信誉绕过邮件安全网关。攻击者发送紧急警报或高价值诱饵邮件，诱导用户访问firebaseapp.com或web.app子域的虚假登录页窃取凭证。Unit42于2026年2月初发现该活动激增，由于云服务信任度高且账号可快速更换，传统黑名单难以防御。建议企业加强URL检查、监控云子域异常流量，并培训员工验证完整网址。 综合评分： 78 文章分类： 威胁情报,网络钓鱼,云安全,安全意识,漏洞预警

黑客利用免费的 Firebase 开发者账号发送钓鱼邮件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月9日 15:05 辽宁

数字威胁形势瞬息万变，网络犯罪分子越来越多地采用“云端生存”策略来绕过安全边界。

通过利用受信任服务提供商的基础设施，攻击者可以有效地掩盖其恶意活动，使企业环境中的自动化防御系统和人工观察员的检测难度大大增加。

最近，这种趋势愈演愈烈，攻击者利用免费的Firebase开发者帐户来实施攻击，这种攻击手段十分复杂。

Firebase 是一个广泛使用的移动和Web 应用程序开发平台，它提供免费层级，允许用户托管内容和部署应用程序。

黑客利用这一特性，搭建逼真的钓鱼页面，模仿知名品牌的登录门户，从而利用该平台的合法性进行攻击。

Unit 42 分析师在 2026 年 2 月初发现了这种恶意活动，观察到利用这些被利用的开发者帐户的网络钓鱼活动明显激增。

他们的研究表明，攻击者正在使用高压手段来操纵受害者。

常见的诱饵包括发送有关欺诈账户使用的紧急警报，或提供免费、高价值物品来引诱用户，旨在激起目标用户立即做出不假思索的反应。

这些活动的有效性很大程度上归功于用户和安全系统对托管域固有的信任。

由于钓鱼链接位于有效的子域名上 firebaseapp.com ， web.app因此它们经常绕过将 Google 关联基础设施列入白名单的电子邮件安全网关。

这种高交付率，再加上托管页面的视觉真实性，导致凭证窃取的成功率显著增加。

通过域名信誉规避检测

该行动的一个显著特点是依靠“声誉劫持”来规避标准检测协议。

传统安全过滤器主要分析域名的年龄和信誉来验证其合法性。

通过在 Firebase 上托管钓鱼内容，攻击者可以继承 Google 托管域名的良好声誉，从而有效地绕过通常会标记未知网站的基于域名的屏蔽机制。

此外，这些账户的免费性质使得它们能够迅速扩散和持续存在。

如果某个恶意项目被标记并暂停，攻击者可以立即创建一个名称不同的新实例。

这种基础设施的短暂性给防御者带来了挑战，因为底层托管服务仍然值得信赖且合法，而特定的恶意子域名却不断变化，使得静态黑名单无法有效抵御这种威胁。

各组织应加强防御态势，对 URL 目标进行严格检查，包括托管在已知云提供商域上的 URL。

建议安全团队监控通用云子域的异常流量模式，并教育员工在输入凭据或敏感数据之前验证完整的 URL 路径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用免费的 Firebase 开发者账号发送钓鱼邮件》