- 12,000 を超えるサーバーが世界中で連携したフィッシング インフラストラクチャをサポート
- Google Cloud リンクにより、フィッシングメールが実際よりも安全に見えるようになりました
- ニューヨーク・タイムズの偽ページがクローラーのおとりとして機能した
金銭的報酬や緊急の支払い要求を約束する不審な電子メールが受信トレイに届いた場合、その電子メールの背後にあるインフラストラクチャが見た目と異なることはほとんどありません。
Comparitech の調査により、55 か国の 12,704 のサーバーにまたがる調整されたスパムおよびフィッシング ネットワークが明らかになりました。
これらのフィッシングメールは、多くのユーザーが依存しているウイルス対策システムやランサムウェアなどのセキュリティ ツールを回避するように設計された戦術を使用して、偽の金銭的報酬や同様の詐欺に関連付けられています。
信頼できる Google リンクはキャンペーンの検出を回避するのに役立ちます
このキャンペーンは、埋め込みリンクを通じて金銭的報酬、健康製品、ギャンブルのオファー、または緊急の支払い要求を宣伝する迷惑メールから始まります。
受信者を攻撃者が制御するサイトにすぐに誘導するのではなく、リンクはまず Google のインフラストラクチャでホストされている Google Cloud Storage ページを経由します。
一般に、有名な Google ドメインは、未知のサイトに比べてユーザーや自動フィルタリング システムからの精査が少ないため、このアプローチは重要です。
Google が所有する URL は、電子メール ゲートウェイ、ファイアウォール、レピュテーション フィルターを簡単に通過して、さらなる精査を行わずに信頼を Google ドメインに定期的に拡張します。
研究者らは、攻撃者が単純な HTML および JavaScript ファイルをクラウド ストレージの場所にアップロードすることで、実際に Google のサーバーに悪意のあるコンテンツを配置することなく、訪問者をリダイレクトできることを発見しました。
最初のリンクと最終的な宛先がこのように分離されているため、キャンペーン運営者にも運用上の柔軟性が提供されます。
リダイレクト ターゲットは、潜在的な被害者に既に配信されている電子メールを変更することなく、いつでも変更できます。
テスト中、研究者は、以下からコピーされたニュース コンテンツを表示するほぼ同一のランディング ページに繰り返し遭遇しました。 ニューヨーク・タイムズ。
これらのページは、特定の選択基準を満たさなかったセキュリティ製品、研究者、監査人にとって無害なおとりとして機能することを目的としているようです。
これらのページをサポートするインフラストラクチャは、共通のソフトウェア構成、互換性のある資産ライブラリ、同様の参照動作、および大幅に時代遅れのサーバー環境を共有していました。
スケールを無視するのは難しい
調査では、数千台のサーバーにわたって同じように繰り返される単一の CSS ファイル パス (assets/ayt/css/main.css) を通じてネットワークが特定されました。
このパターンは、独立した運用者ではなく集中的な展開を示しています。特定された 12,704 台のサーバーのうち、99.8% がアクティブなセキュリティ更新プログラムのないサポート終了ソフトウェアを実行しており、数十の管轄区域の 412 のストレージ プロバイダーにわたって展開されていました。
この地理的拡散はほぼ確実に意図的であり、1 つのプロバイダーを標的とした削除はネットワークの残りの部分をそのまま残します。
これらのサーバーのうち 5,000 台をクラウドソースの IP 評判データベースと照合してテストしたところ、89% に過去の悪用歴がないことが判明しました。
これは、インフラストラクチャが最近プロビジョニングまたはローテーションされ、ウイルス対策システムや脅威システムの先を行くことができたことを示しています。
これらの電子メールのいずれかを介してアクセスしたページに個人情報を入力した人は、そのデータが侵害されたものとして扱う必要があります。
このようなユーザーは、特にパスワードが複数のサービスで再利用されている場合には、ただちにパスワードを変更する必要があります。
さらに、一見するとどれほど小さいように見えても、すべての金融口座で異常なアクティビティがないか常に監視することが重要です。
情報を入力せずにリンクをクリックすると、結果が表示されます。このクリックにより、オペレーターは電子メール アドレスが有効で有効であることが確認されました。
これは、今後この電子メールが大量のスパムを受信すると予想され、さらなるフィッシング攻撃や詐欺行為にさらされるリスクが高まることを意味します。
Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。
