Cybercriminals Exploit Cloud Storage For SMS Phishing Scams
2024/05/23 InfoSecurity — Amazon S3/Google Cloud Storage/Backblaze B2/IBM Cloud Object Storage などの、クラウド・ストレージ・サービスを悪用する一連の犯罪キャンペーンを、セキュリティ研究者たちが明らかにした。このキャンペーンは、無名の脅威アクターにより実施されるものであり、ユーザーを悪意の Web サイトへとリダイレクトし、SMS メッセージを用いて情報を盗み出すことを目的としている。
2024年5月23日に Enea が発表した技術文書によると、攻撃者は2つの戦術を持っている。
第一に、詐欺のテキスト・メッセージが携帯端末に配信されるようにして、ネットワーク・ファイアウォールによる検知を回避すること。第二に、受信したメッセージやリンクが信頼できるものであると、エンド・ユーザーに信じ込ませることである。
クラウド・ストレージ・プラットフォームを活用し、スパム URL を埋め込んだ静的な Web サイトをホストすることで、攻撃者はメッセージを合法的に見せかけ、一般的なセキュリティ対策を回避していく。
一般的に、クラウド・ストレージ・サービスを利用するユーザー組織は、Web サイト資産をストレージ・バケットに保存することで、ファイルを保存/管理し、静的な Web サイトをホストできる。そして、これらのプラットフォームに保存された静的 Web サイトに、サイバー犯罪者がスパム URL を埋め込むことで悪用が成立する。
サイバー犯罪者たちは、それらのクラウド・ストレージ・サイトにリンクする URL を SMS で配信するため、有名なクラウド・ドメインの正当性が認識され、また、ファイアウォールによる制限が回避される確率が高まる。したがって、それらのリンクをクリックするユーザーたちは、知らないうちに悪意のサイトへとリダイレクトされる。
たとえば、Google Cloud Storage のドメイン “storage.googleapis.com” は、スパム・サイトにリンクする URL を作成するために、攻撃者たちに悪用されていた。Google クラウド・バケットでホストされている悪意の静的 Web ページは、HTML メタ・リフレッシュのテクニックを用いて、詐欺サイトへとユーザーを即座にリダイレクトする。この手法により、ユーザーを詐欺サイトに誘い込むサイバー犯罪者たちは、ギフトカードのプロモーションなどの正規のオファーを模倣して、個人情報や財務情報を恒常的に盗み出していく。
Enea が認識している同様の手口としては、Amazon Web Services (AWS) や IBM Cloud などのクラウド・ストレージ・サービスも悪用されている。そこでも、SMS メッセージ内の URL から、スパムをホストする静的な Web サイトへの誘導が行われているという。
このような脅威から身を守るために推奨されるのは、トラフィック挙動を監視/URL の検査/リンクを含む予期せぬメッセージへの注意だと、Enea は指摘している。
クラウド上のドメインを使った C2 通信などが行われると、それが悪意のトラフィックであることを認識するのが、きわめて難しくなるはずです。この手口に SMS を絡めることで、検知を回避するという、狡猾な手口が横行しているようです。なんというか、注意しようにも、注意しようのない状況ですね。
IoT OT Security News 
You must be logged in to post a comment.