Google は、先週プログラマーによって記録された巧妙なアカウント乗っ取り詐欺に対する防御を強化していると述べている。
Hack Club の創設者である Zach Latta 氏は、Google アカウントを乗っ取ろうとした音声フィッシング詐欺師に、もう少しで騙されそうになったと語った。
同氏は、「誰かが、私が今まで見た中で最も巧妙なフィッシング攻撃を試みた。私は危うくそれに引っかかるところだった。ちょっとびっくりした。」と述べた。
詐欺師たちは、米国バーモント州に拠点を置く Latta 氏に電話をかけ、Google Workspace チームがフランクフルトからの異常なログイン試行に気付いたため、アカウントのパスワードをリセットする必要があると主張した。
電話の発信元は 650-203-0000 (自動 Google アシスタント通話に関連付けられた本物の番号) で、発信者番号は「Google」だった。詐欺師は Chloe という名前を使い、非常にクリアな回線でアメリカ訛りで話した。最初に電話をかけたのは Google だったが、最初はすべて順調に見えた。
それでもラッタさんは疑いを抱き、電話の真正性を確認するために Google ドメインから送信された本物のメールを要求しました。そのメールはなりすましではない workspace-noreply@google.com アドレスから送信されたもので�、ラッタさんがその番号に折り返し電話してもいいか尋ねた後も、クロエさんは動揺していないようで「もちろん」と答えましたが、ラッタさんが実際に電話をかけるのを阻止するにはそれで十分でした。
クロエさんのマネージャーである「ソロモン」という、アメリカ訛りの人物が電話を引き継ぎ、同僚が提供したものと矛盾する情報を提供したあと、詐欺が明らかになり始めました。唯一の救いは、彼がラッタさんのデバイスに表示された本物の 2FA 番号マッチング コードを提供できたことです。
技術に詳しくない人にとっては、被害者が電話に出たのは本物の Google スタッフだと確信するには十分だろうが、ソロモンが正しい番号を押すように促したことは、これが詐欺であると完全に判断する前の最後の危険信号だった。
「おかしなことに、電話番号を確認し、正当なドメインからメールを送信してもらうという 2 つの「ベスト プラクティス」に従っていたら、私は危険にさらされていただろう」とラッタ氏は書いている (https://gist.github.com/zachlatta/f86317493654b550c689dc6509973aa4)。
「Google アシスタントを介して「Google」の電話を偽装できた方法は理解できるが、g.co は正当な Google URL なので、important.g.co にどうやってアクセスしたのかは分からない。
[私は] 文字通りボタンを 1 回押すだけで完全に乗っ取られるところだった。 「それに、私はかなり技術に詳しいんです!」
ここでは g.co の使用が重要です。詐欺師は g.co サブドメインを使用して Google Workspace を作成します。G.co は本物の Google サブドメインであ��り、誰でも g.co サブドメインを使用して新しい Workspace を作成できます。所有者であることを確認する必要はありません。
次に、詐欺師は Workspace を使用して被害者のアカウントを作成し、Workspace アカウントでは通常どおり Google 自身から送信されるパスワード リセット メールを送信します。
Google の広報担当者は The Register に次のように語りました。「この詐欺の背後にあるアカウントを停止しました。このアカウントは、検証されていない Workspace アカウントを悪用してこれらの誤解を招くメールを送信していました。
「これが大規模な戦術であるという証拠は見つかっていませんが、サインアップ時に g.co 参照を悪用する悪用者に対する防御を強化し、ユーザーをさらに保護しています。」
念のため、Google はパスワードのリセットやアカウントの問題のトラブルシューティングのためにユーザーに電話をかけることはありません。そのため、着信電話は迷惑電話として扱ってかまいません。
より広範な問題
ラッタ氏の事件の詳細の一部は、12月に著名な情報セキュリティジャーナリストのブライアン・クレブス氏が語った、Googleアカウントの乗っ取りにより50万ドル相当の暗号資産の強奪につながったという同様の悲惨な話と一致しています。
Googleサポートの担当者と称する人物が、同じ650-203-0000番号からアダム・グリフィン氏に電話をかけましたが、今回はg.coドメインではなくGoogleフォームが悪用されました。
Googleフォームのトリックは数年前のものですが、今でも多くの被害者を困��惑させる説得力のあるツールです。これはフォームの機能を悪用したもので、攻撃者は Google からのアカウント侵害警告などの偽のメールを送信できますが、スパムとして拾われる可能性が低い本物の Google ドメインから送信します。
電話の相手は、ラッタの場合と同じようにアメリカ訛りの人物で、アカウント回復プロセスを通じてグリフィン氏をガイドすることができました。彼らは、たとえば、ラッタの場合と同じように、番号が一致した場合のように、Gmail アプリで特定のポップアップがいつ表示されるかを把握していました。
もちろん、どちらも詐欺師自身が始めたものですが、繰り返しになりますが、これらは技術に詳しくない人々に電話の「正当性」を納得させるのに十分でしょう。
同様の詐欺は現在、Apple ユーザーにも襲いかかっており、Krebs 指摘 は今月初めに、詐欺師の手口について大衆を教育することがいかに重要であるかを常に思い起こさせる最近の事例となっています。
これらはまた、フィッシングに対するより現代的なソリューションである パスキー の優れた宣伝でもあります。パスキーの人気は昨年急上昇し、Microsoft などが 最終的にはすべてのユーザーがパスキーの使用を余儀なくされる と警告しています。同様に、Google もそれらの 強力な支持者 です。®