詐欺師がGoogleの正規インフラを悪用してセキュリティフィルターを回避する、新たなフィッシングキャンペーンの波が確認されています。
攻撃者は現在、Google Firebaseで無料の開発者アカウントを作成し、有名ブランドになりすました不正メールを送信しています。
Firebaseドメインの信頼性を利用することで、これらの攻撃者は標準的なスパム検知システムを回避し、ユーザーの受信箱にメールを到達させることに成功しています。
攻撃の仕組み
Google Firebaseは、開発者がモバイルおよびWebアプリケーションを構築するために利用する人気のプラットフォームです。
開発者がソフトウェアをテストできるよう、無料アカウントを提供しています。残念ながら詐欺師は、これらのアカウントから送信されるメールが信頼されたGoogleサーバーから発信されることに気づいてしまいました。
このキャンペーンでは、攻撃者が無料アカウントを登録し、それを使ってフィッシングメールを一斉送信します。
これらのメッセージは通常、 firebaseapp.comで終わるアドレスから送られてきます。メールは技術的には正規のGoogleサービスから送信されているため、メールセキュリティゲートウェイが安全と判定してしまうことがよくあります。
このキャンペーンは、主に2つの心理的トリガー(恐怖と欲)に依存しています。
- 脅しの手口: 多くの被害者は、銀行口座やオンラインプロフィールが侵害されたと主張する緊急アラートを受け取ります。これらのメッセージは「不正なアカウント利用」を警告し、アカウント凍結を防ぐために直ちに対応するよう要求します。
- 偽のプレゼント企画: 別のメールでは、高額商品を無料で入手できるという約束で被害者を誘い込みます。こうした偽プロモーションは人気小売ブランドを模倣し、賞品を受け取るためにリンクをクリックするよう促します。
ユーザーがこれらのメール内のリンクをクリックすると、ログイン認証情報やクレジットカード番号などの機密データを盗むよう設計された悪意のあるWebサイトへリダイレクトされます。これはPaloAlto Networkにより報告されています。
侵害の指標(IoC)
セキュリティチームは、メールトラフィックにおける特定のパターンに注意を払う必要があります。
攻撃者はFirebaseプラットフォーム上でランダムに生成したサブドメインを使用することが多いです。このキャンペーンで観測された送信元アドレスの例は次のとおりです。
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
さらに、これらのメールに含まれるリンクは外部のフィッシングページへリダイレクトします。
研究者は、 clouud.thebatata[.]org 上でホストされているものや、 rebrand[.]ly を用いた短縮リンクなど、複数の悪意のあるURLを特定しています。
安全を保つため、たとえFirebaseのような信頼できる技術ドメインから来たように見えても、心当たりのないメールには懐疑的であるべきです。
送信者のアドレスは必ず注意深く確認してください。銀行や小売業者からのメールだと主張しているのに、アドレスが firebaseapp.com で終わっている場合、それはほぼ確実に詐欺です。
ネットワーク管理者には、特定されたドメインのトラフィックを監視し、組織が開発用途で積極的に利用していない場合は、未知のFirebaseサブドメインからのメールをブロックすることを検討するよう推奨されます。
翻訳元: https://gbhackers.com/hackers-exploit-free-firebase-accounts/
