求人テーマのフィッシングキャンペーンに関する調査の一環として、以下のような複数の疑わしいURLを発見しました:
https://forms.google.ss-o[.]com/forms/d/e/{unique_id}/viewform?form=opportunitysec&promo=
サブドメイン forms.google.ss-o[.]com は正規の forms.google.com になりすまそうとする明らかな試みです。「ss-o」はシングルサインオン(1組のユーザー名とパスワードで複数の独立したアプリケーションまたはWebサイトへのセキュアなログインを可能にする認証方法)のように見せるために導入されたと思われます。
残念ながら、これらのURLにアクセスしようとすると、ローカルのGoogleの検索サイトにリダイレクトされました。これは被害者が自分のカスタマイズされたリンクを研究者やオンライン分析ツールと共有するのを防ぐための一般的なフィッシャーの手口です。
さらに掘り下げた結果、同じドメイン上に generation_form.php というファイルが見つかりました。このファイルはフィッシング犯がこれらのリンクを作成するために使用したと考えられます。キャンペーンのランディングページは以下の通りです:https://forms.google.ss-o[.]com/generation_form.php?form=opportunitysec
generation_form.php スクリプトは名前が示唆する通りの処理を行います。そのリンクをクリックした人のためのカスタマイズされたURLを作成するのです。
この知識を活用すれば、フィッシングの内容を確認できました。カスタマイズされたリンクから、以下のWebサイトにたどり着きました:
プロンプトの背後にあるグレーアウトされた「フォーム」は以下を約束しています:
- 採用情報!カスタマーサポート エグゼクティブ(国際プロセス)
- キャリアをスタートさせたり、キャリアアップを望んでいますか…
- フォームのフィールド:名前、メールアドレス、エッセイフィールド「なぜ私たちはあなたを選ぶべきなのか、詳しく説明してください」
- ボタン:「送信」と「フォームをクリア」
Webページ全体がGoogleフォームをエミュレートしており、ロゴ画像、カラースキーム、パスワードを「送信しない」という通知、法的リンクを含んでいます。下部には、真正性を高めるために一般的なGoogleフォームの免責事項(「このコンテンツはGoogleが作成または承認したものではありません。」)まで含まれています。
「サインイン」ボタンをクリックすると、現在は削除されている https://id-v4[.]com/generation.php にアクセスしました。ドメイン id-v4.com はほぼ1年間、複数のフィッシングキャンペーンで使用されています。このケースでは、Googleアカウント認証情報を要求していました。
「求人機会」という角度から見ると、リンクはターゲット絞ったメールまたはLinkedInメッセージを通じて配布されたと推測されます。
安全を保つ方法
リモート求人機会を約束する誘い文句は最近非常に一般的です。以下に、このようなターゲット攻撃から身を守るために役立つポイントをいくつかご紹介します:
- 一方的な求人オファーのリンクをクリックしないでください。
- パスワードマネージャーを使用してください。パスワードマネージャーは偽のWebサイトにあなたのGoogleユーザー名とパスワードを自動入力することはありません。
- Webサイト保護コンポーネント付きの最新で信頼できるリアルタイム アンチマルウェアソリューション を使用してください。
プロのヒント:Malwarebytes Scam Guard は単純にURLを確認することでこの攻撃をスキャムとして識別しました。
IOCs
id-v4[.]com
forms.google.ss-o[.]com
