Menlo Securityはこのほど、「Google Drawings and WhatsApp Zero-hour Open Redirection Phish exposed - Blog|Menlo Security」において、Google DrawingsおよびWhatsAppの短縮URLを悪用するフィッシングキャンペーンを発見したと伝えた。信頼された既存のWebサイトを悪用するLiving off Trusted Sites(LOTS)の手法はセキュリティソリューションの検出を回避することを目的としているが、同様の脅威がフィッシング攻撃全体の30%を占めるまでに成長しているという。

  • Google Drawings and WhatsApp Zero-hour Open Redirection Phish exposed - Blog|Menlo Security

    Google Drawings and WhatsApp Zero-hour Open Redirection Phish exposed - Blog|Menlo Security

攻撃手順

発見されたフィッシングキャンペーンでは、最初にGoogle Drawingsの画像を貼り付けたフィッシングメールを用いる。この画像はGoogleサーバにホストされているため、セキュリティソリューションの検出を回避可能とされる。また、この画像はリンクを含めることができ、攻撃者に都合のよいツールとみられている。

画像にはAmazonアカウントの確認を求める文章が記載され、下部に認証ボタンが表示される。ユーザーがこれを不自然だと認識できなかった場合、だまされる可能性がある。

  • Google Drawingsで作成された画像 - 引用:Menlo Security

    Google Drawingsで作成された画像  引用:Menlo Security

ユーザーが画像をクリックすると、WhatsAppの短縮URLサービス「l.wl.co」を経由してフィッシングサイトにリダイレクトされる。フィッシングサイトはAmazonのサインインページに似せた作りになっており、ユーザーがサインインを試みると認証情報を窃取される。その後、「セキュリティ」「請求」「支払い」「完了」のページが表示され、各ページに入力した個人情報やクレジットカード情報なども窃取される。

  • 攻撃手順 - 引用:Menlo Security

    攻撃手順 引用:Menlo Security

対策

Menlo Securityは今回のキャンペーンのように、回避的で不自然さの少ないフィッシング攻撃は、従来の従業員教育やセキュリティソリューションの導入だけでは防ぎきれないと指摘している。