セキュリティ

「フィッシングサイトが検索広告として表示されている」としてFBIが警告を発する


アメリカの連邦捜査局(FBI)が「検索結果として表示される広告や上位の検索結果にフィッシングサイトが表示されており、金融機関のログイン情報が不正に取得される事件が頻発している」と警告を発しました。

FBI warns of cybercriminals abusing search ads to promote phishing sites | The Record by Recorded Future
https://therecord.media/fbi-warns-of-cybercriminals-abusing-search-ads-to-promote-phishing-sites/

セキュリティ系ニュースサイトのThe Recordによると、FBIは民間企業パートナーに文書を送付し、「サイバー犯罪グループが検索連動型広告などを使用して金融機関を装ったフィッシングサイトに誘い込み、ログイン情報を収集していると判明した」と警告しました。FBIはこの手口による被害総額はおよそ数十万ドル(数千万円)に上ると述べています。

大まかな手口として、FBIは「金融機関を装ったフィッシングサイトにログイン情報を入力してしまうと、金融機関を名乗る人物から電話がかかってくる。この人物とアカウントの復旧に関する会話を続けている間に、グループの1人が取得したログイン情報で金融機関にアクセスし、電信送金を実行する。被害者は本物の金融機関のサイトにアクセスしてようやく被害に気づく」という筋書きを挙げているとのこと。

The RecordのCimpanu氏は「犯罪グループは当初は検索連動型広告でフィッシング詐欺を行っていたものの、次第に広告に頼らずとも検索結果の上位に表示されるようなフィッシングサイトを構築しつつある」と説明しています。FBIは「こうした手口のフィッシング詐欺は遅くとも2021年3月から行われている」と述べているとのことですが、Cimpanu氏は遅くとも2020年半ばから行われているのではないかとにらんでいます。

Scheme isn't new. It started becoming extremely popular last year. See some of @benkow_'s tweets on this:https://t.co/9WxNJicTef

— Catalin Cimpanu (@campuscodi)


CSIS Security Groupのセキュリティ研究者であるBenoit Ancel氏も、2020年9月頃から検索広告型フィッシング詐欺について警告「こうしたフィッシングサイトの広告は1日400~500クリックほど稼いだ後にすぐ消えるため、捕まえるのは難しい」と述べています。

And it's a threat very hard to catch. They buy 400/500 clicks a day to Google and the ad disappear. You have to be here at the right moment of the day in the right country looking for the right bank.

— Benkøw moʞuƎq (@benkow_)


Cimpanu氏は「検索広告型フィッシング詐欺は過去数年間にわたって使用されてきたが、特に電子メールスパムなどのマルウェア配布手法が対策により効果を失い始めた後、勢いを増している」と述べています。

この記事のタイトルとURLをコピーする

・関連記事
Facebookがフィッシング詐欺サイトのまぎらわしいURL停止を求めてドメイン登録業者を提訴 - GIGAZINE

自分がフィッシング詐欺に引っかかりやすいかどうかをテストできる「フィッシング・クイズ」をGoogle傘下のjigsawが公開、実際に使ってみた - GIGAZINE

数万円の金銭と引き換えに社内システムへのログイン情報の提供を求めるフィッシングメールの存在が確認される - GIGAZINE

日本語版のGoogle Playに偽装してクレジットカード情報を盗み出すフィッシング(詐欺)サイトが登場 - GIGAZINE

Appleがハッカーから「身代金を払わなければ未発表情報をバラす」と脅迫されていることが判明 - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.