攻撃者が正規のGoogleインフラを悪用して被害者を狙う、新たな波のフィッシングキャンペーンが確認されています。
詐欺師はGoogle Firebaseの無料開発者アカウントを利用し、従来のセキュリティフィルターを効果的に回避する不正メールを送信しています。
Google Firebaseは、モバイルおよびWebアプリケーションを構築するために広く利用されているプラットフォームです。開発者がコードをテストし、小規模なプロジェクトを無料でホスティングできる「無料枠」を提供しています。
PaloAlto Networkが報告したように、サイバー犯罪者は現在、これらの無料アカウントを登録してフィッシングコンテンツをホストし、メールを送信しています。
メールはGoogleの信頼性の高いインフラに関連付けられたドメインである firebaseapp.comで終わるサブドメインから送信されるため、ドメイン評価が高くなります。
これにより、悪意のあるメールがスパムブロックリストをすり抜け、被害者のメイン受信箱に直接届いてしまいます。
このキャンペーンは、被害者を操るために主に2つの心理的トリガー(恐怖と欲)に依存しています。
調査では、送信者アドレスに見られる特定のパターンが明らかになりました。
これらのアドレスでは、Firebaseドメインにランダムな英数字の文字列が付加されていることがよくあります。観測された送信者の例には次のようなものがあります。
ユーザーがメール内の行動喚起ボタンをクリックすると、さまざまなURL短縮サービスや侵害されたサイトを経由して、最終的なフィッシングページへリダイレクトされます。悪意のあるリダイレクトチェーンは、次のようなURLを用いていることが確認されています。
このキャンペーンは、攻撃者が信頼されたサービスを利用して悪意のある活動を隠す、いわゆる「Living off the land」を実践していることを示しています。
技術的な送信者アドレスが正規のプラットフォーム上でホストされているように見えても、緊急の対応を求める迷惑メールには警戒を怠らないようにしてください。
翻訳元: https://cyberpress.org/cybercriminals-use-firebase-distribute-phishing-emails/