Google広告を悪用して認証情報収集

AWSの認証情報を収集するフィッシングキャンペーンが観測されています。
こんな流れで進行します。

• Googleで「AWS」を検索する
  被害者はAWSの管理画面を利用したい人です。
  このフィッシングでは、Google検索でAWSを検索することを前提にしています。

• 検索結果にフィッシングサイトが混ざる
  被害者はAWSを検索しています。
  当然の結果か、一番最初には本家のAWSのサイトが結果として表示されます。これはこれでOKです。
  ちなみにこの1番目の結果はGoogle広告の検索結果です。
  そして調査時点では、2番目の検索結果にフィッシングサイトが表示されています。
  サイトの見出しは「AWS – Console – HOME Oficial」です。
  一瞬この「Oficial」はタイポかな、と思いますが、英語のofficialはポルトガル語やスペイン語ではoficialになります。
  もしかしたらこのサイトの見出しを作成した攻撃者は英語ではない言語が母国語の人なのかもしれません。
  2番目の検索結果のURLを見てみると「us1-eat-a-w-s.blogspot[.]com」となっています。
  これもまたGoogle広告の検索結果です。
  このURLをみて、このリンクをクリックする人はどのくらいいるでしょうか。
  本家のURLは「aws.amazon.com」のドメイン名を含むものになっています。
  本家に比較してあまりに類似性が低いです。

• フィッシングサイトのリンクをクリックする
  URLを確認しないで検索結果を選択する人の中にはフィッシングサイトのリンクをクリックしてしまう人もいるということでしょうか。
  被害者はフィッシングサイトのリンクをクリックします。
  検索結果にあったURLにアクセスするとすぐにリダイレクトで別のURLに移動させられます。
  この移動先のサイトがフィッシングサイトの本体になっています。

• AWSの認証画面にそっくりのWebページが表示される
  ブラウザに表示される画面の構成や見た目はAWSのそれにそっくりです。
  しかしここでもURLはそれらしさが低いと感じるものが使用されています。
  「aws1-console-login[.]us/login」です。
  URLは別のものである感が非常に強いと感じますが、コンテンツの表示部分は本家とそっくりにできています。

• 認証する
  被害者は表示されているサイトがフィッシングサイトのものであると気が付いていない前提です。
  被害者はAWSの認証情報をフィッシングサイトに入力します。
  入力された認証情報はフィッシングサイトで記録され、その情報を使ってAWSの本家のサイトに飛ばされる仕組みになっています。
  このため、認証完了以降は、AWSのコンテンツを利用することができます。

普段AWSを使用していないユーザをターゲットとしている、ということなのでしょうか。
フィッシングサイトの技術的な意味での作りを考えた場合、よくできているといえるように思えます。
しかし通常このフィッシングに引っかかってしまうものなのでしょうか。
普段から検索結果を選択する際にURLを確認することが習慣化されている人にとっては引っかかりそうにない仕上がりに思えます。
うっかり、ということを狙っているということなのでしょうか。

Web検索を使用する際には、検索結果のサイトのタイトルなどの文字部分だけでなく、検索結果のリンク先のURLの部分もキッチリ確認することが重要ということでしょうか。
これはすぐに開始できますね。
無理なく実施できる自衛の活動は確実に実施しようと思います。

参考記事（外部リンク）：Cloud Credentials Phishing | Malicious Google Ads Target AWS
Logins
www.sentinelone.com/blog/cloud-credentials-phishing-malicious-google-ads-target-aws-logins/