ブログ - cPanel is delaying (4) incoming messages というフィッシングメール
cPanel is delaying (4) incoming messages というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/9 16:43
cPanelというWebベースのサーバ管理ツールからのメールを偽装して,サイトの管理者向けに発信しているフィッシングメールがきました.ちなみにcPanelは使っていないサイト向けです.
この件はGoogleのFirebaseを使ってセキュリティゲートウェイ製品をすり抜け,サイトの管理者をターゲットにしているということです.
引用: 今回宛先となったメアドは漏洩したものではなく,サイト運営者なら設置すべきかなと言われているwebmasterというメアド.postmasterとかmailer-daemonと同じ.ちなみに時間差でinfo宛にも同じ内容のフィッシングメールが来ていました.
急がされているけれど,後回しにしていたのでメールが来てから10日くらい経っている・・・
指定されたURLにアクセスすると次の様な警告が.
cuttlyという短縮URLサービス提供会社が既に警告を出しています.
Microsoft Edgeの機能で日本語翻訳するとこんな感じ.
警告は出しても止めなし無い模様.短縮URLなので一存で消せば良いのにね.画面の一番したに転送先のURLがありました.
乱暴にもクリックしてみる.
Google Firebase Storageのサイトに転送されて,Web Mailのログイン画面が出ています.
この画面で,言語切り替えボタンやプライバシーポリシーが表示されている部分もありますが,リンクはありません.ソースコードを見るとただの画像.ログインのメールアドレスとパスワードを入れる部分,Log inボタンは入力することができます.
この画面でランダムなIDやパスワード,それっぽいメールアドレスを入力してみましたが,The login is invalidと表示されるだけでどうにもなりませんね.JavaScriptをみると,userとpassとurlをpostして終わり.
引用:
この方法の模様.
ハッカーがGoogle Firebase StorageのURLを使用して詐欺に利用する方法は次のとおりです
https://www.cyclonis.com/ja/how-hackers-are-using-google-firebase-url-to-scam-people/
引用: Firebaseを使っている理由についても.
引用: これはAzure上にC2を置くのと同じ理由.
この件はGoogleのFirebaseを使ってセキュリティゲートウェイ製品をすり抜け,サイトの管理者をターゲットにしているということです.
引用:
You have some incoming messages that are placed on hold.
Kindly RE-ACTIVATE your webmaster@ドメイン account below to access incoming messages.
Activation expires after 2hours from 2/28/2022 6:48:46 a.m. and your domain ドメイン will be blocked
受信したメッセージが保留になっているものがあります。
受信メッセージにアクセスするには、以下の webmaster@ドメイン アカウントを再アクティブ化してください。
有効期限は2/28 6:48:46 a.m.から2時間で、ドメインのドメインはブロックされます。
急がされているけれど,後回しにしていたのでメールが来てから10日くらい経っている・・・
指定されたURLにアクセスすると次の様な警告が.
cuttlyという短縮URLサービス提供会社が既に警告を出しています.
Microsoft Edgeの機能で日本語翻訳するとこんな感じ.
警告は出しても止めなし無い模様.短縮URLなので一存で消せば良いのにね.画面の一番したに転送先のURLがありました.
乱暴にもクリックしてみる.
Google Firebase Storageのサイトに転送されて,Web Mailのログイン画面が出ています.
この画面で,言語切り替えボタンやプライバシーポリシーが表示されている部分もありますが,リンクはありません.ソースコードを見るとただの画像.ログインのメールアドレスとパスワードを入れる部分,Log inボタンは入力することができます.
この画面でランダムなIDやパスワード,それっぽいメールアドレスを入力してみましたが,The login is invalidと表示されるだけでどうにもなりませんね.JavaScriptをみると,userとpassとurlをpostして終わり.
引用:
Cloud Storage for Firebase
https://firebase.google.com/docs/storage?hl=ja
Cloud Storage for Firebase は、写真や動画など、ユーザーが作成したコンテンツを保管、提供する必要のあるアプリ デベロッパー向けに構築されています。
この方法の模様.
ハッカーがGoogle Firebase StorageのURLを使用して詐欺に利用する方法は次のとおりです
https://www.cyclonis.com/ja/how-hackers-are-using-google-firebase-url-to-scam-people/
引用:
Firebaseは、2014年にGoogleが買収したモバイルアプリケーションとウェブアプリケーションの開発プラットフォームであり、現在は検索エンジン大手の大規模なクラウドストレージインフラストラクチャに直接リンクしています。詐欺師たちは、これがフィッシングページの保存に最適であることを認識しました。
引用:
セキュリティ製品が侵害されたWebサイトで悪意のあるアクティビティを検出するとすぐに、ドメイン全体がブラックリストに登録され、キャンペーン全体が早期に終了する可能性があります。
フィッシャーはFirebaseを使用することで、Googleのクラウドインフラストラクチャとその評判を直接利用しています。
