ハッカーが巧妙なGoogleドライブ詐欺を使用してMicrosoftアカウントのログインデータを盗もうとする
一部のログイン認証情報は他の認証情報よりも価値が高く、驚くべきことではありませんが、重要なアカウントを狙ったフィッシング攻撃は、はるかに洗練され、よく考え抜かれる傾向があります。 1月、チェックポイントの研究者たちは、火曜日にだけ書いたフィッシングキャンペーンに遭遇し 、巧妙に設計された攻撃を検出するのがいかに難しいかを示しました。
Table of Contents
詐欺師は巧妙なフィッシング攻撃でユーザーのOffice 365資格情報を盗もうとしました
電子メールはOffice 365を使用する組織の従業員に送信されました。最初に、メッセージは被害者をリンクが含まれているクラウドでホストされているPDFファイルにリダイレクトし、おそらく従業員が興味を持っている共有ドキュメントにつながります。ユーザーにサインインを要求するSharePointログインページのように見えます。ユーザーは、Office 365の資格情報または組織IDを使用してサインインできます。どちらのオプションを選択しても、説得力のあるMicrosoftログインフォームのポップアップが表示され、そこに入力した情報はすべて詐欺師に直接送信されます。
チェック・ポイントのスクリーンショットを見ると、フィッシング攻撃に関連することが多い文法およびスペルの間違いがどこにも見られないことがわかります。書式設定は元の書式とほぼ同じであり、操作全体を通して、ユーザーは本当に自分のMicrosoftアカウントにログインしようとしていると簡単に騙される可能性があります。さらに、ログイン認証情報を入力すると、グローバルコンサルティング会社からの本物のレポートにリダイレクトされ、すべてをさらに信頼できるものにすることができます。これがこの攻撃を他から際立たせる唯一のものではありません。
フィッシャーはGoogleのクラウドサービスを広範囲に使用しました
被害者が目にした最初のPDFは、Googleドライブでホストされていました。リンク先のSharePointになりすますページもGoogleのクラウドホスティングサービスにアップロードされており、悪意のあるログインフォーム自体もアップロードされていました。
明らかに、Googleが所有するインフラストラクチャでホストされているMicrosoftログインページを見ることは正常ではありませんが、詐欺師は、ログイン認証情報を入力するときにアドレスバーに細心の注意を払う傾向のあるユーザーはほとんどいないことを知っていました。彼らはまた、自分たちが認識しているドメインを見れば、疑わしくなる可能性が低いことも知っていました。
フィッシング詐欺師は、Googleのサービスを使用することで、自動化されたツールと従業員の活動を監視しているシステム管理者の両方による綿密な調査を回避することもできます。全体として、Googleのクラウドの使用により、攻撃が成功する可能性がはるかに高くなりました。
攻撃は、熟練したフィッシャーのグループによって組織されました
フィッシング詐欺師が示した巧妙さのレベルは、彼らがどれだけの経験を持っているかを考えるとそれほど驚くべきものではありません。攻撃を発見した直後に、研究者たちはグーグルに通知し、悪意のあるページは削除されました。ただし、オフラインになる前に、チェックポイントの専門家はソースコードを調べ、ページがGoogleのクラウドでホストされていても、リソースの大部分が外部ドメインのprvtsmtp [。] comから読み込まれていることに気付きました。
ドメインは、かなりの数のフィッシングキャンペーンで使用されているウクライナのサーバーをポイントしていました。 1つ目は、悪意のあるページ自体をホストし、その後、MicrosoftのAzureクラウドサービスを利用した攻撃の際のインフラストラクチャの一部となりました。
チェック・ポイントの研究者たちは、1月に発見した攻撃を終わらせる手助けをしましたが、その背後に立つフィッシング詐欺師の経験豊富なグループを阻止することはできません。サイバー犯罪者の次の動きが何であるかがわかるのは時間だけです。一方、世界中の従業員は、ログイン資格情報を入力する場所とタイミングを特に注意する必要があります。
