MailGuardは9月10日(現地時間)、「Outlook Quarantine Con: Exploiting Google Translate & Web Archive」において、複数の正規サービスを悪用して標的のメール認証情報を窃取するアクティブかつ高度なフィッシング攻撃キャンペーンを特定したと報じた。
ロシアに関係があるとみられる脅威アクターが、セキュリティソリューションを回避する高度なリダイレクトチェーンを展開したとして注意を呼びかけている。
-
Outlook Quarantine Con: Exploiting Google Translate & Web Archive
偽の隔離通知とリダイレクトチェーンの悪用
MailGuardによると、「要対応:隔離されたメッセージをご確認ください」という件名のメールから攻撃が始まるという。攻撃者はOutlookの隔離通知に見せかけた詐欺メールを使用することで、Microsoft Outlookに慣れているユーザーをだますとされる。
-
Outlookの隔離通知に見せかけた詐欺メールの例 引用:MailGuard
ユーザーがリンクをクリックすると、「Google翻訳」→「サードパーティーのリダイレクトサービス」→「インターネットアーカイブ(archive[.]org)」の順でリダイレクトされる。インターネットアーカイブは米国の非営利団体が運営しているWebサイトで、自動収集したWebサイトのコピーを保存している。
攻撃者はフィッシングサイトをインターネットアーカイブに保存させることで、その脅威を隠蔽しようとしたものとみられる。ユーザーが脅威に気づかずログインを試みると資格情報を窃取される。
-
最終的に誘導されるフィッシングサイトの例 引用:MailGuard
対策
MailGuardは同様の攻撃を回避する方法として、管理者向けおよびエンドユーザー向けの対策を提案している。エンドユーザー向けの対策は次のとおり。
- 隔離通知を受け取った場合はリンクをクリックせず、メールプロバイダーのWebサイトから通知の有無を確認する
- 未知または不審な送信者からの緊急の連絡は、詐欺の可能性があることを理解する
- 認証情報を入力する前にかならずURLを確認する。正規サービスがインターネットアーカイブを利用することはない
- これら対策がよくわからない場合は、通知の受信時にIT部門に問い合わせる
詐欺師はユーザーをフィッシングサイトに誘導するために、あらゆる努力を続けている。ユーザーは警戒を緩めることなく、これら詐欺に対抗する必要がある。組織の管理者にはセキュリティ対策への積極投資を行い、従業員を脅威から保護することが望まれている。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
