DV SSL証明書とGoogle Adwordsを巧妙に利用したフィッシングサイト

2018年2月19日

ニュースソース:TALOS BLOG

以下は、2018年2月14日にJeremiah O’Connor氏とDave Maynor氏によって公開された、COINHOARDER: Tracking a Ukrainian Bitcoin Phishing Ring DNS Styleを要約したものです。


Ciscoの研究チームは、COINHOARDERキャンペーンと名付けた大規模なフィッシング行為について報告します。
米国の有名な仮想通貨取引所blockchain.infoを偽装し、Bitcoinをだまし取る詐欺が行われました。
blockchain.infoドメインに類似した紛らわしいドメイン名を利用してGoogle Adwordsの広告で集客し、SSL証明書を巧妙に利用した詐欺行為が特徴です。

ドメインは、例えば bockchain.info、blockcharin.info のような紛らわしいものなどが利用され、Let’s EncriptやCOMODOのDV証明書が使われていました。
そして、自国の通貨が安定していないアフリカ諸国やその他の発展途上国をターゲットにして仮想通貨をだまし取るフィッシングを行っていました。
サーバーはウクライナのホスティングプロバイダーのものが利用されていました。
Ciscoはウクライナの法執行機関と協力して、攻撃者のBitcoin Walletアドレスを特定することができたため、2017年9月から2017年末の間の活動を追跡することができました。
この期間だけでも、約1,000万ドルが盗まれました。

COINHOARDERキャンペーンから明らかなことは、Google AdwordsとSSL証明書を組み合わせたフィッシングが世界中のユーザーに有利な攻撃であることです。
フィッシング詐欺師は、SSLに移行し、犠牲者を信頼させることで、攻撃手法を大幅に改善しています。
Let’s Encryptがワイルドカード証明書のサポートを開始することで、こうしたフィッシングがさらに増加するでしょう。