かなり巧妙・・・
スラドに Google Docsのドキュメント共有を装ったフィッシング攻撃が発生 てのがありました。
日本時間3日夜にGoogle Docsを装ってGmailユーザーをターゲットにするフィッシング攻撃キャンペーンが発生したそうです。記事によると・・・
攻撃は知人がGoogle Docsでドキュメントを共有したことを知らせる内容のフィッシングメールを通じて拡大していったという。メッセージ内のリンクをクリックするとGoogleの正規のログイン画面が表示され、「Google Docs」にGmailと連絡先へのアクセスを許可するように求められる。しかし、このGoogle DocsはGoogleとは無関係の攻撃用Webアプリであり、アクセスを許可するとGmailアカウントを通じて連絡先に同様のフィッシングメールを送信するとのこと。
だそうです。
これはかなり巧妙です。メッセージ内のリンクは正規のログイン画面なのですが、その先のアプリが攻撃用Webアプリになっているところがよく練られてますね。これだと正規のログイン画面を確認した時点でアクセスを許可してしまいそう・・・
記事にもあるように、既にGoogleが対策を行っているので同様の手口は発生しづらいと思いますが、こういった盲点をついてくる攻撃は今後も行われる可能性はありますので最新の注意が必要です。
少しでもアヤシイと思った場合は、安易にリンクを踏んだり、アプリに権限を与えたりせずに無視するか、セキュリティ担当者やIPAの情報セキュリティ安心相談窓口などにご相談ください。