巧妙なドメイン偽装の手口

現在、洗練されたフィッシングキャンペーンが、巧妙なタイポグラフィカルな錯覚を利用して、ユーザーの機密性の高いログイン情報を騙し取ろうとしています。サイバー犯罪者たちは「rnicrosoft.com」というドメインを登録し、意図的に文字「m」を「r」と「n」の組み合わせに置き換えることで、Microsoftの正規ドメインとほぼ見分けがつかない視覚的なレプリカを作り出しています。

この欺瞞的な手口は、最新のブラウザやメールクライアントがフォントをレンダリングする方法に起因します。「r」と「n」が隣接している場合、これらの文字間のカーニング（文字間隔調整）により、しばしば「m」の見た目を模倣します。人間の脳にはテキストのエラーを自動修正する傾向があるため、特にメールを閲覧したり、モバイルデバイスでコンテンツを見たりする際に、この視覚的欺瞞は非常に効果的です。AnagramのCEOであるハーレー・シュガーマン氏は、この特定の攻撃ベクトルを最近強調し、詐欺メールが公式のMicrosoftロゴ、レイアウト、正規のやり取りのトーンを模倣していると指摘しています。この高度な手口は、疑いを持たないユーザーが悪意のあるコンテンツとやり取りする可能性を高めます。

視覚的欺瞞によるログイン情報の窃取

CyberSecurity Newsによると、この攻撃の威力はその驚くべき巧妙さにあります。高解像度のデスクトップモニターでは、目の肥えた観察者なら不規則性に気づくかもしれませんが、ほとんどのユーザーは見落としてしまいます。モバイルデバイスはリスクを大幅に増幅させ、画面スペースの制限によりアドレスバーが完全なURLを切り詰めて表示し、悪意のあるドメイン全体を隠してしまいます。ユーザーが信頼できるエンティティと通信していると信じ込むと、悪意のあるリンクをクリックしたり、不正な添付ファイルをダウンロードしたりする可能性がはるかに高くなります。

攻撃者はこの手口を利用して、資格情報のフィッシング、ベンダー請求詐欺、および内部HRなりすましキャンペーンを促進します。侵害された資格情報は、不正アクセス、データ窃盗、さらなるネットワーク侵入につながる可能性があるため、その脅威は深刻です。「rn」の入れ替えは、攻撃者のツールキットにおける多くのバリエーションの1つに過ぎません。その他の一般的な手口としては、「o」を数字の「0」に置き換える（「micros0ft.com」を作成）、正規のブランド名にハイフンを追加する（「microsoft-support.com」など）、あるいは「microsoft.com」の代わりに「microsoft.co」のような代替トップレベルドメインを使用することなどがあります。

ユーザーを保護するための防御策

これらのホモグリフおよびタイポスクワッティング攻撃から防御するには、ユーザーの行動における根本的な変化が必要です。セキュリティ専門家は、ユーザーが未承諾のメールとやり取りする前に、送信元アドレスの全体を展開することを強く推奨しています。ハイパーリンクにカーソルを合わせることで、実際の宛先URLが明らかになり、モバイルデバイスでリンクを長押しすることで、接続が確立される前に欺瞞を暴くことができます。

メールヘッダー、特に「Reply-To」フィールドを分析することで、詐欺師が返信を外部の、管理されていない受信箱にルーティングしているかどうかを明らかにすることができます。予期しないパスワードリセット要求があった場合は、メールのリンクを完全に無視し、新しいブラウザタブから直接公式サービスにアクセスするのが最も安全な方法です。

組織におけるセキュリティ意識向上トレーニングの重要性

組織は、この脅威に効果的に対抗するために、ユーザー教育とシミュレーション演習に投資する必要があります。これらのタイポスクワッティングのバリエーションを含む定期的なフィッシング訓練は、チームが反射的に見慣れた通知をクリックする衝動を認識し、抵抗するのに役立ちます。セキュリティ意識向上トレーニングは、これらの巧妙に作成されたソーシャルエンジニアリング攻撃に対する最も信頼できる防御策であり続けます。

元記事: https://gbhackers.com/attackers-swap-m-with-rn-in-microsoft-com/