新たなフィッシング攻撃がGoogle検索を通じてログイン資格情報を暴露

日々、月々、年々と共に、サイバー攻撃が決して収まることはないことは明らかです。ビジネス、個人、産業はどの時点でも攻撃される可能性があります。最新のものは、建設などの大規模な産業を攻撃し、Google検索を通じてログイン資格情報を暴露するフィッシング詐欺です。

Googleを通じて暴露されたフィッシング詐欺

Check Point Researchは、ブロッグ投稿を通じて、大手産業から盗まれたログイン資格情報が侵害されたWordPressドメインで公開されたことを警告しました。それは、最も公共の場であるGoogle検索で発見されました。

すべては、従業員の名前や役職を詐欺メールの件名に含むメールから始まりました。従業員は、建設、IT、医療、不動産、製造などの産業からのものでした。これらのメールは、Linuxサーバーから発信されたXerox/Xerosの通知を模倣しており、Microsoft Azure上にホストされていました。以前に侵害されたメールアカウントからもスパムが送信され、メッセージに信憑性を持たせました。

JavaScriptコードを埋め込んだHTMLファイルがメールに添付されていました。これにはただ一つの目標がありました：パスワードの隠れたバックグラウンドチェックです。ログイン資格情報の入力が検出されると、それらは収集され、ユーザーはログインページに誘導されました。

「この感染チェーンは単純に聞こえるかもしれませんが、Microsoft Office 365 Advanced Threat Protection (ATP) フィルタリングをうまく回避し、1000人以上の企業従業員の資格情報を盗むことに成功しました」とCheck Pointは述べています。

このサイバー攻撃に含まれたハイジャックされたウェブサイトは、WordPress CMSで構築されていました。Check Pointは、これらのドメインが盗まれたログイン資格情報を処理するための「ドロップゾーンサーバー」として使用されていると説明しました。

ログイン資格情報がドロップゾーンサーバーに送信された後、それはファイルに保存され、Googleによってインデックス化されて公開されました。誰でもGoogleを検索することでそれらにアクセスできました。しかし、サーバーは約2か月間のみ使用され、.XYZドメインにリンクされていました。

「攻撃者は通常、自分のインフラストラクチャの代わりに侵害されたサーバーを使用することを好むのは、既存のウェブサイトの評判がよく知られているためです」とCheck Pointは説明しました。「評判が広く認知されているほど、そのメールがセキュリティベンダーによってブロックされる可能性が低くなります。」

未来への警告

発見された証拠は、この特定のフィッシング詐欺がしばらく前から存在していた可能性があることを示しています。昨年の8月のメールは、最近発見された詐欺と比較され、同じJavaScriptエンコーディングが使用されていました。

すべては、私たちが警戒を怠ってはいけないことを示しています。大規模な産業や任意の個人またはビジネスが影響を受ける可能性があり、その中にはGoogleやWordPressのようなテクノロジー大手も関与することができます。インターネットに関しては、何も安全ではありません。常に注意を払い、自分の情報を大切にしましょう。

テレワークのトレンドがサイバー攻撃と偽のコラボレーションアプリの増加につながっていることを学び続けましょう。