グーグル カレンダーの招待メールに偽装したフィッシングメールを確認

グーグル カレンダーの招待メールに偽装したフィッシングメールを確認

UTMやセキュリティソフトを提供するCheck Pointはグーグル カレンダーの招待メールに偽装したフィッシングメールキャンペーンが確認され4 週間の間に 4,000 件を超えるフィッシング メールを観察しているとしています。

グーグル カレンダーの招待メールに偽装したフィッシングメール キャンペーンの概要

Check Pointは過去、グーグルカレンダーやGoogle 図形描画などを利用して、悪意のあるリンクを含む正規の招待状を送信する事で、グーグルやメールのセキュリティポリシーを回避しようとしている活動を観測していました。

多くのメールはグーグル カレンダーから直接送信されたように偽装しており、カレンダー ファイル (.ics) には Google フォームまたは Google 図形描画へのリンクが含まれているため、正当なメールのように見えます。

チェック・ポイント社は、セキュリティ製品が悪意のあるカレンダー招待をフラグ付けできることを観察した後、サイバー犯罪者は攻撃を進化させてGoogle 図形描画( Google Drawings)の機能に合わせて攻撃を開始したとしています。

進化したフィッシングメール攻撃キャンペーン

サイバー攻撃者は、メールの「送信者」ヘッダーを偽装し、正当な個人やGoogleカレンダー経由で送信されたように見せかけたメールをターゲットに送信します。

前述のグーグルのカレンダー招待機能が対策され始めると、サイバー攻撃者は異なる方法で偽装を行いました。

  1. フィッシングメールの送信
    • グーグル フォームまたは Google 図形描画のリンクに偽装、またはカレンダー ファイル (.ics) を添付してグーグルカレンダーの招待メールに偽装
  2. リンクの誘導
    • 最初のリンクをクリックすると、次に別のリンクをクリックするよう求められます。このリンクは多くの場合、偽のreCAPTCHA認証サポートボタンに偽装されています。
  3. 詐欺サイトへの誘導
    • リンクをクリックしたユーザーは、暗号通貨マイニングページやビットコインサポートページなどに転送されますが、これらのページは実際には金融詐欺を目的としたものです。

詐欺の目的

セキュリティ研究者によると、これらのページは偽の認証プロセスを通じてユーザーを騙し、個人情報を入力させます。最終的には支払い情報を提供するよう促され、これが不正利用や金融詐欺に繋がります。

対策

  • MFA(多要素認証)の導入
  • Google カレンダーで『既知の送信者』設定を有効にする
  •  サードパーティの Google アプリの使用状況を監視
TOPへ