サイバーニュース.jp

世界のサイバーなニュースを配信

PNB MetLifeフィッシング攻撃:多段階の手口でデータ窃取、不正UPI決済を誘発

カテゴリ:

PNB MetLifeへの巧妙なフィッシング攻撃

インドの大手保険会社PNB MetLifeの顧客を標的とした、洗練された多段階フィッシング詐欺が進行中です。偽の決済ゲートウェイページを通じて顧客情報が窃取され、不正なUPI(統一決済インターフェース)決済が誘発され、最終的には銀行認証情報の完全な収穫にまでエスカレートしています。

攻撃者はブランドへの信頼を悪用し、無料のホスティングサービスとTelegramボットを利用して、リアルタイムでデータを外部に流出させています。これらのページはモバイルデバイス向けに最適化されており、SMSベースの配信経路が強く示唆されています。分析の結果、正規の決済処理バックエンドは存在せず、すべてのユーザーインタラクションはデータ窃盗のためだけに設計されていることが判明しました。

攻撃インフラの詳細

  • ホスティングプラットフォーム: EdgeOne Pages(迅速な展開のための無料ホスティングサービス)
  • Telegramデータ流出ボット:
    • @pnbmetlifesbot – 初期データ収集用
    • @goldenxspy_bot – 銀行認証情報窃取用
  • オペレーターアカウント:
    • @darkdevil_pnb – リアルタイム監視
    • @prabhatspy – データ受信アカウント
  • 配信方法: SMS(主要な感染経路と推定)

二段階攻撃フロー

ステージ1:基本的な決済詐欺テンプレート

最初のフィッシング亜種では、ユーザーに名前、保険証券番号、携帯電話番号を要求するモバイルフレンドリーなフォームが表示されます。このページでは入力検証が一切行われず、任意の値をそのまま受け付けます。送信されると、JavaScriptがTelegram Bot APIを通じてこのデータをサイレントに外部流出させます。

その後、被害者は支払額の入力を求められ(ここでも検証なし)、送信後、動的に生成されたQRコードと緊急性を煽るカウントダウンタイマーが表示されるUPIベースの決済フローに移行します。JavaScriptはupi://pay URIをQRコードとしてレンダリングしますが、意図的に金額パラメータを省略し、正規のUPIアプリ内で手動入力を強制します。

さらに、PhonePeとPaytmのボタンはクリップボード悪用技術を使用し、ユーザーを決済アプリのディープリンクにリダイレクトする前に、攻撃者によって制御されたUPI IDをクリップボードにサイレントにコピーします。この二重アプローチにより、詐欺の成功率が大幅に向上します。

ステージ2:高度な認証情報窃取テンプレート

より危険な亜種は、決済詐欺を超えて攻撃をエスカレートさせます。基本的な詳細情報を収集した後、被害者には「金額の更新」「返金」「自動引き落としシステムの追加」などのオプションが提示され、正規のポリシーサービスであるかのような錯覚を与えます。

「金額の更新」を選択すると、ユーザーは新しい保険料を入力し、「確認のための銀行詳細」ページに進みます。ここで攻撃は最大レベルに達し、すべての銀行およびカード情報がgoldenxspy_botを通じてTelegram経由でオペレーターアカウントprabhatspyに外部流出します。これにより、キャンペーンは決済詐欺から包括的な金融認証情報窃取へと変貌します。

技術的な攻撃連鎖

この攻撃は、すべての操作をクライアントサイドのJavaScriptに依存しています。

  • データ収集: 未検証のフォーム入力が顧客情報をキャプチャします。
  • サイレントな外部流出: ハードコードされたTelegramボットトークンとチャットIDがデータをリアルタイムで送信します。
  • 動的なQRコード生成: JavaScriptがUPI決済URIをQRコードとしてレンダリングします。
  • クリップボード操作: 攻撃者によって制御されたUPI IDがクリップボードにサイレントにコピーされます。
  • アプリのリダイレクト: ディープリンクが被害者を正規の決済アプリにプッシュし、攻撃者のUPI IDが事前に入力されます。

あらゆる段階でバックエンド検証が存在しないことは、攻撃者が正規の金融取引を行っておらず、インフラが詐欺のためだけに存在することを確認しています。

推奨事項

ユーザー向け

  • SMSメッセージからの保険料支払いリンクは絶対にクリックせず、常にブックマークしたURLを使用してPNB MetLifeの公式サイトに直接アクセスしてください。

企業向け

  • 悪意のあるドメインをブロックするためにメールおよびSMSフィルタリングを実装し、フィッシングの兆候について顧客を教育してください。

プラットフォーム向け

  • フィッシングキットをホストしているEdgeOne Pagesのサブドメインをブロックし、金融認証情報窃取のためのTelegramボットを監視してください。

法執行機関向け

  • Telegramおよびホスティングプロバイダーと協力して即座にテイクダウンを実施し、オペレーターアカウントを追跡して帰属を特定してください。

このキャンペーンは、モバイル詐欺のメカニズムと心理的 FOMA (Fear Of Missing Out) の巧妙な理解を示しています。無料ホスティングプラットフォーム、正規の決済アプリ、リアルタイムのTelegram外部流出の悪用は、インド最大級の保険会社を標的とした低摩擦の詐欺 operasi を生み出しています。

元記事: https://gbhackers.com/pnb-metlife/

投稿をさらに読み込む