概要
サイバー犯罪者は、フィリピンの主要な銀行ユーザーを標的とする高度なフィッシングキャンペーンを展開するために、信頼されたオンラインプラットフォームを利用しています。この攻撃は、メールセキュリティが向上しているにもかかわらず、依然として効果的な攻撃手法であることを示しています。
攻撃の詳細
このキャンペーンは2024年初めから活動を開始し、2026年現在も進化を続けています。研究者は900を超える悪意のあるリンクと400人以上の被害者を確認しました。
攻撃の特徴
- 信頼されたサービスの悪用: Google Business、AMP CDN、Cloudflare Workers、URL短縮サービスなどが利用されています。
- メールアドレスの偽装: コンボリストデータベースから盗まれた資格情報を利用して、組織ドメインからのメッセージを送信しています。
攻撃の手口
初期のフィッシング波は、架空の取引通知や「支払いキャンセル」リンクを使用していましたが、後半には不審なデバイスログイン警告やアカウント情報更新要求などの新たなテーマを導入しました。
攻撃の成功要因
- ホットリンク: 本物の銀行サーバーから直接資産を取り込み、信頼性のあるインターフェースを再現しています。
- 自動化されたスクリプト: Telegramボットを通じてデータを即座に送信し、マルチファクタ認証をバイパスして無断取引を実行します。
攻撃の進化
さらに高度な手法として、フィリピンccTLD内の合法的な教育機関ドメインを乗っ取り、悪意のあるサブドメインを作成し、信頼性と堅牢性を高めています。
対策の必要性
このキャンペーンは、現代のフィッシング操作がより適応力があり、技術的に高度になっていることを示しています。セキュリティ専門家は、強化された監視とメールフィルタリング、継続的なユーザー意識向上を推奨しています。