グーグル カレンダーの招待メールに偽装したフィッシングメールを確認
UTMやセキュリティソフトを提供するCheck Pointはグーグル カレンダーの招待メールに偽装したフィッシングメールキャンペーンが確認され4 週間の間に 4,000 件を超えるフィッシング メールを観察しているとしています。
グーグル カレンダーの招待メールに偽装したフィッシングメール キャンペーンの概要
Check Pointは過去、グーグルカレンダーやGoogle 図形描画などを利用して、悪意のあるリンクを含む正規の招待状を送信する事で、グーグルやメールのセキュリティポリシーを回避しようとしている活動を観測していました。
多くのメールはグーグル カレンダーから直接送信されたように偽装しており、カレンダー ファイル (.ics) には Google フォームまたは Google 図形描画へのリンクが含まれているため、正当なメールのように見えます。
チェック・ポイント社は、セキュリティ製品が悪意のあるカレンダー招待をフラグ付けできることを観察した後、サイバー犯罪者は攻撃を進化させてGoogle 図形描画( Google Drawings)の機能に合わせて攻撃を開始したとしています。
進化したフィッシングメール攻撃キャンペーン
サイバー攻撃者は、メールの「送信者」ヘッダーを偽装し、正当な個人やGoogleカレンダー経由で送信されたように見せかけたメールをターゲットに送信します。
前述のグーグルのカレンダー招待機能が対策され始めると、サイバー攻撃者は異なる方法で偽装を行いました。
- フィッシングメールの送信
- グーグル フォームまたは Google 図形描画のリンクに偽装、またはカレンダー ファイル (.ics) を添付してグーグルカレンダーの招待メールに偽装
- リンクの誘導
- 最初のリンクをクリックすると、次に別のリンクをクリックするよう求められます。このリンクは多くの場合、偽のreCAPTCHA認証やサポートボタンに偽装されています。
- 詐欺サイトへの誘導
- リンクをクリックしたユーザーは、暗号通貨マイニングページやビットコインサポートページなどに転送されますが、これらのページは実際には金融詐欺を目的としたものです。
詐欺の目的
セキュリティ研究者によると、これらのページは偽の認証プロセスを通じてユーザーを騙し、個人情報を入力させます。最終的には支払い情報を提供するよう促され、これが不正利用や金融詐欺に繋がります。
対策
- MFA(多要素認証)の導入
- Google カレンダーで『既知の送信者』設定を有効にする
- サードパーティの Google アプリの使用状況を監視