Check Pointの新たな調査により、サイバー犯罪者がGoogleカレンダーとGoogle図形描画を利用し、悪意のあるリンクを含む一見正当な招待状を送ることで、メールのセキュリティ対策を回避している実態が明らかになった。
この調査では、これまで悪意のあるカレンダー招待を検知していたメールセキュリティポリシーを、サイバー犯罪者がどのように回避しているかが示された。
多くのメールは、Googleカレンダーから直接送信されたように見えるうえ、カレンダーファイル(.ics)にGoogleフォームまたはGoogle図形描画へのリンクが含まれているため、正当なものに見える。
Check Pointは、セキュリティ製品が悪意のあるカレンダー招待を検知できるようになったことを受け、サイバー犯罪者がGoogle図形描画の機能に合わせる形で攻撃を進化させたと述べた。
攻撃者は「送信者」ヘッダーを改ざんし、既知で正当な人物に代わってGoogleカレンダー経由で送信されたかのようにメールを見せかける。
この攻撃の目的は、企業または個人の情報を窃取することにある。
標的がカレンダーファイルに含まれるリンクをクリックすると、さらに別のリンクをクリックするよう求められ、そのリンクは偽のreCAPTCHAやサポートボタンに偽装されていることが多い。
リンクをクリックすると、ユーザーは暗号資産のマイニング用ランディングページやビットコインのサポートページのように見えるページへ転送される。
Check Pointによれば、これらのページは実際には金銭詐欺を行うことを目的としている。ユーザーが当該ページに到達すると、偽の認証プロセスを完了し、個人情報を入力し、最終的に支払い情報を提供するよう求められる。
個人が気付かぬうちに機微なデータを開示すると、その情報は金融詐欺に悪用され、サイバー犯罪者がクレジットカード詐欺、不正取引、または同様の違法行為に及ぶ可能性がある。
盗まれた情報は、他のアカウントのセキュリティ対策を回避するためにも使用され、さらなる侵害につながる可能性がある
この調査結果について、Googleは次のように述べた。「Googleカレンダーで『既知の送信者』設定を有効にすることを推奨します。この設定は、連絡先リストにない相手、または過去にそのメールアドレスとやり取りしたことがない相手から招待を受け取った際にユーザーへ警告することで、この種のフィッシングに対する防御に役立ちます。」
この種の攻撃からユーザーを保護するために、組織向けのその他の推奨事項には次が含まれる。
- 高度なフィッシング攻撃をブロックできる先進的なメールセキュリティプラットフォームを導入する
- サードパーティ製のGoogleアプリの利用状況を監視し、不審な活動について組織に警告できるようにする
- 業務用アカウント全体で多要素認証(MFA)を有効にする
- 暗号資産関連サイトへのアクセスを含む、異常なログイン試行や不審な活動を検知できる行動分析ツールを導入する
画像クレジット:Mojahid Mottakin / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cybercriminals-exploit-google/
