米国のセキュリティ企業「Silent Push」のリサーチャーは、フィッシングキャンペーンがGoogle広告を悪用して給与を横領する詐欺を行っていると警告しています。
攻撃者は、ブランド名や製品名を含む検索広告を購入し、フィッシングページを検索結果の上位に表示させています。
Silent Pushのリサーチャーはこのキャンペーンについて次のように述べています。
「当社は、主に人事管理システム「Workday」のユーザーや著名な組織を標的とする数百のドメインを特定しました。その中には、雇用開発局(EDD)や健康維持機構「カイザーパーマネンテ」、百貨店「メイシーズ」、ニューヨーク生命保険会社、製薬会社「ロシェ」などが含まれています。攻撃者は、広告付きのフィッシングサイトやGoogle経由で偽装された人事ページを使った検索広告キャンペーンを展開し、被害者から従業員ポータルのログイン情報を詐取しています。攻撃者は、従業員のアカウントを侵害した後、自身の管理する銀行口座を登録し、被害者の給与を横領しています。」
Silent Pushのリサーチャーは次のように説明しています。
「攻撃者は、ダークウェブなどの犯罪フォーラムから入手したとみられる社会保障番号などの追加情報を悪用し、従業員のポータルアカウントに侵入します。その後、従業員の銀行情報を変更し、攻撃者が管理する不正な銀行口座に給与が振り込まれるよう操作しています。」
攻撃者は、正規のツールを悪用し、短期間で次々と新しいフィッシングページを立ち上げることで、セキュリティ対策を回避しています。
Silent Pushのリサーチャーは次のように述べています。
「攻撃者は、Leadpages、Mobirise、WixなどのWebサイトビルダーを利用して、新しいフィッシングページを迅速に立ち上げ、セキュリティ対策を回避し続けています。当社の脅威調査チームは、攻撃者が新たないくつかのインフラストラクチャに接続している特定のIPアドレスの範囲を特定しました。また、攻撃者は特定の時間帯に合わせて攻撃の手法を変更していることも確認しています。フィッシングサイトは、Dynadot、Porkbun、Namecheapといった特定のドメイン登録サービスを利用して作られることが多くなっています。」
新しいスタイルの先進的なセキュリティ意識向上トレーニングは、企業や組織にソーシャルエンジニアリング攻撃に対する重要な防御層になります。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Silent Pushの記事を参照してください。
原典:Stu Sjouwerman著 2024年12月10日発信 https://blog.knowbe4.com/phishing-attacks-hijack-employee-payments