偽のGoogleセキュリティ警告にフィッシング詐欺が潜む - TechRepublic

詐欺メールの最も古い兆候の一つは、ドメインの誤りです。しかし、BleepingComputerが詳細に報じているように、脅威アクターは最近、OAuthを悪用してgoogle.comのメールアドレスを偽装しました。OAuthは、ユーザーがGmailのパスワードなどの情報を共有することなく、ウェブサイトやアプリケーションがGoogleサービスに接続できるようにするオープンスタンダードです。

4月20日現在、Googleはこの脆弱性を認識しており、修正に取り組んでいることを確認した。

偽メールはGoogleからの法的召喚状を模倣していた 

このOAuth詐欺は、ブロックチェーン命名サービスを提供する企業の開発者、ニック・ジョンソン氏によって報告されました。ジョンソン氏によると、攻撃者はまずドメインを作成し、Googleアカウントに関連付けられたメールアドレスを[email protected]という形式で作成しました。次に、Google OAuthアプリを作成し、フィッシングメールの全文（ジョンソン氏の場合は召喚状に関する警告）をそのまま名前に付けました。 

攻撃者が Google のメール アドレスに OAth アカウントへのアクセスを許可すると、そのアドレスに偽の召喚状通知が届きます。 

よく見ると、メールの送信元はaccounts.google.comではなくsites.google.comであることがわかりました。送信元アドレスには[email protected]と表示されており、信憑性を高めていました。この実在のアドレスが説得力を高めたのは、攻撃者がフィッシングメールをアプリ名の中に隠蔽し、Googleのセキュリティスキャンがカバーするメッセージとヘッダーを回避していたためです。 

参照：Appleは、iPhoneやその他のデバイスで悪用された 2つの重大なセキュリティ欠陥を修正しました。

この戦術により、フィッシング メールは、メールの送信者が正当であるかどうかを確認するプロトコルである DKIM 署名チェックを通過しました。 

アドレスとして me@ を使用すると、メッセージは潜在的な被害者のグループにメールで送信されるのではなく、1 人の人物に直接送信されたように見えます。 

被害者が偽のセキュリティ警告をクリックすると、sites.google.com ページに誘導され、攻撃者はそこで被害者のメール認証情報を収集しようとする可能性があります。 

ジョンソン氏は、Google Sites自体がセキュリティリスクをもたらすのではないかと推測した。「私の意見では、Google Sitesのスクリプトと任意の埋め込みを無効にする必要がある。これはフィッシング攻撃の手段としてあまりにも強力だ」と彼は書いている。 

Google OAuthのその他の悪用 

1月、Truffle Securityは、攻撃者が廃止されたスタートアップ企業のドメインを購入し、それを介して従業員のメールアドレスを再現できることを発見しました。ゾンビメールアドレスを使用することで、攻撃者は人事システムにアクセスし、従業員の財務情報を入手するなど、様々な悪用を行う可能性があります。 

3月、ある脅威アクターがOAuthを利用してPayPalからの偽のアラートを作成しました。これは、PayPalがユーザーに新しいメールアドレスをアカウントに追加できる仕組みを悪用した二重構造の詐欺でした。攻撃者は、新しいメールアドレスと偽の1,000ドルの請求をユーザーに通知するメッセージを送信しました。被害者がメールに記載された偽のPayPalサポート番号に連絡した場合、詐欺師のエコシステムにさらに深く入り込むことになります。 

こちらもご覧ください

• Bitwarden と LastPass 2024: どちらのパスワード マネージャーが最適ですか?
• 「AIエージェントは認められない」EU、バーチャル会議でのAIアシスタントの使用を禁止
• AI対応企業のためのエッジネットワークセキュリティ
• サイバーセキュリティ：さらに読むべき記事