ハッカーは、新たに登録されたドメインとコマンド&コントロールサーバーを利用して、盗んだ認証情報を処理するために偽のログインページを作成しました。
攻撃は、求人サービスを装った「Google Career」というメッセージが複数の言語で送信されたことから始まりました。
攻撃者はまた、「Google Career…」というテキストを単語ではなくセキュリティラベルに分割するなど、HTMLのトリックも使用していました。
研究者によると、Salesforceを含む送信元間で、メッセージ配信における「サービスの不正使用または侵害」の事例が複数確認されたとのことです。
また、リンク後の人間による認証手順を偽装していました。
コメント