シマンテックは12月17日、DropboxやGoogle+が送信するメールを偽装し、ユーザーをアフィリエイトプログラムに誘導する詐欺行為を確認したとセキュリティブログで明かした。
Dropboxは、ユーザーが他のユーザーとデータ共有することを目的に、Dropboxアカウントを持たないユーザーとも共有可能な、ファイルをリクエストサービスを提供している。
ユーザーがこの機能を利用して、ファイルをリクエストしたりフォルダへアクセスできるように他のユーザーを招待すると、「no-reply@dropbox.com」からメールが送信される。
詐欺師は、Dropboxのメールアドレスを偽装してさまざまなユーザーにメールを送信している。このメールがDropboxのメールボックスから送信されていることから、受信側のスパムフィルタをすり抜けやすくなっている。
シマンテックが確認したリンクは、Googleが提供する短縮URLサービスを利用しており、詐欺師が自ら作成したランディングページに直接リンクしている場合もあった。
Google+の通知を介して受信箱にスパムメールが届くケースは、送信元にソーシャルネットワーク上の偽アカウントが利用されている。
詐欺師の手法は、まず偽のアカウントを使って公開の投稿を作成し、そこにネット上のあちこちに投稿されている女性の写真を集めたフォトアルバムを追加する。
次に、公開投稿を他のGoogle+ユーザーと共有して受信箱に届ける。通知に記載されたリンクは、GoogleのURL短縮機能やHootsuiteのURL短縮機能が利用されている。
ユーザーは、スパムメッセージの本文に記載されたリンクをクリックするとランディングページに移動し、そこにアフィリエイトのリンクがあるか、アフィリエイトIDを使った他のサイトにリダイレクトされる。アフィリエイトのリンクでもリダイレクトでも、行き先はアダルト出会い系サイトとなる。
ユーザーがアダルトサイトに登録すると、詐欺師にアフィリエイト報酬が支払われる。新しいユーザーをサイトに紹介すると、コンバージョン1件あたり2~6ドルのアフィリエイト報酬が支払わられる。
シマンテックでは、アフィリエイト制度を使ったアダルト出会い系サイトへの誘導を問題視しており、Dropboxと情報を共有して対抗策に取り組んでいる。
Dropboxは、悪用の証拠がないかどうかを監視し、この活動の検出と予防に努めており、すでに該当アカウントを即時停止したという。
また、シマンテックは"正規の通知"に偽装する手法は今後も続くと見ており、警戒を怠らないようにと注意を促している。