アメリカの連邦捜査局(FBI)が「検索結果として表示される広告や上位の検索結果にフィッシングサイトが表示されており、金融機関のログイン情報が不正に取得される事件が頻発している」と警告を発しました。
セキュリティ系ニュースサイトのThe Recordによると、FBIは民間企業パートナーに文書を送付し、「サイバー犯罪グループが検索連動型広告などを使用して金融機関を装ったフィッシングサイトに誘い込み、ログイン情報を収集していると判明した」と警告しました。FBIはこの手口による被害総額はおよそ数十万ドル(数千万円)に上ると述べています。
大まかな手口として、FBIは「金融機関を装ったフィッシングサイトにログイン情報を入力してしまうと、金融機関を名乗る人物から電話がかかってくる。この人物とアカウントの復旧に関する会話を続けている間に、グループの1人が取得したログイン情報で金融機関にアクセスし、電信送金を実行する。被害者は本物の金融機関のサイトにアクセスしてようやく被害に気づく」という筋書きを挙げているとのこと。
The RecordのCimpanu氏は「犯罪グループは当初は検索連動型広告でフィッシング詐欺を行っていたものの、次第に広告に頼らずとも検索結果の上位に表示されるようなフィッシングサイトを構築しつつある」と説明しています。FBIは「こうした手口のフィッシング詐欺は遅くとも2021年3月から行われている」と述べているとのことですが、Cimpanu氏は遅くとも2020年半ばから行われているのではないかとにらんでいます。
CSIS Security Groupのセキュリティ研究者であるBenoit Ancel氏も、2020年9月頃から検索広告型フィッシング詐欺について警告「こうしたフィッシングサイトの広告は1日400~500クリックほど稼いだ後にすぐ消えるため、捕まえるのは難しい」と述べています。
Cimpanu氏は「検索広告型フィッシング詐欺は過去数年間にわたって使用されてきたが、特に電子メールスパムなどのマルウェア配布手法が対策により効果を失い始めた後、勢いを増している」と述べています。