- サイバー犯罪者は、高度な音声フィッシング技術を使用して、Google Workspace チームのメンバーになりすましました。
- 会話の後半で、ハッカーは被害者にパスワードのリセットを要求するメールを送信しました。
- 詐欺メールは、Google の正当な「g.co」ドメインから送信されたように見え、欺瞞的な要素が加わりました。
Google は、ユーザーのアカウントが危うく侵害されるところだった高度なフィッシング攻撃を受けて、防御を強化するための措置を発表しました。詐欺師は、Google Workspace チームのメンバーになりすまし、高度な音声フィッシング技術を使用しました。
この事件は、バーモント州に拠点を置く Hack Club の創設者 Zach Latta 氏によって明らかにされました。同氏は詳細なスレッドで自身の体験を語り、フィッシング攻撃について説明 これまで遭遇した「最も巧妙な」攻撃だったと述べています。
この電話は、正規の Google 番号 650-203-0000 から発信されたように見え、発信者番号には「Google」が表示されていました。詐欺師は「クロエ」と名乗り、はっきりとした口調でアメリカ訛りで話し、電�話に本物らしさを与えていました。
詐欺師は、フランクフルトから彼の Google アカウントに異常なログイン攻撃があったと主張し、パスワードをリセットするよう要求しました。
彼らの信憑性を確かめるため、ラッタ氏は確認済みの Google ドメインからメールを要求し、正当な Google アドレスである [email protected] からメールを受け取りました。それにもかかわらず、ラッタ氏は用心深く、最終的に彼らの話に矛盾があることに気付きました。
別の詐欺師である「ソロモン」が電話を引き継いだとき、詐欺は明らかになりました。ソロモンはラッタ氏のデバイスから本物の 2 要素認証 (2FA) 番号を提供しましたが、ラッタ氏に正しい番号を入力するよう誘導しようとしたことで疑惑が浮上しました。
この詐欺で最も欺瞞的な要素の 1 つは、Google の g.co ドメインの悪用でした。攻撃者は g.co サブドメインを使用して Google Workspace を作成し、正当な Google インフラストラクチャ経由でメールを送信できるようにしました。
彼らはこの機能を使用して、ほとんどのユーザーにとって信じられると思われる偽のパスワード リセット メールを作成しました。
ラッタ氏は、自分がこの攻撃の犠牲者になる寸前だったと述べ、「おかしなことに、電話番号を確認し、正規のドメインからメールを送信してもらうという 2 つの「ベスト プラクティス」に従っていたら、私は侵害されていただろう」と述べた。
その後、Google はこの事件に対応している。広報担当者は、「この詐欺の背後にあるアカウントを停止しました。このアカウントは、未確認の Workspace アカウントを悪用して、これらの誤解を招くメールを送信していました。これが大規模な戦術であるという証拠は見つかっていませんが、サインアップ時に g.co 参照を悪用する悪用者に対する防御を強化し、ユーザーをさらに保護しています」と述べた。
その他のニュースとしては、ハッカーが乗っ取った Google 広告主アカウントを利用したいくつかの悪質なキャンペーンで、偽の有料検索結果を介して Google 広告になりすます ことが報告されています。