サイバーニュース.jp

世界のサイバーなニュースを配信

新たなフィッシング手法:Basic認証URLが悪用されユーザーが標的に

カテゴリ:

, , , , , , , , ,

新たなフィッシング手法の発見

Netcraftは最近、日本の金融機関であるGMOあおぞらネット銀行を標的とした不審なURLを発見しました。このURLは、レガシーなウェブ技術であるBasic認証URLフォーマットを悪用し、視覚的に銀行を偽装して顧客を欺くものでした。この発見は、古くても依然として効果的なこの手法に依存するフィッシング活動の広範な調査を促し、脅威アクターが非推奨のウェブ標準を再利用して、何気ない検査を回避できることを露呈しました。

Basic認証URLの悪用メカニズム

Basic認証は、「hxxps://username:password@domain.com」という形式で認証情報をURLに渡す、数十年前からある方法です。元々は初期のウェブサーバーでのシンプルなアクセス制御を目的としていましたが、URLに認証情報を埋め込むとブラウザの履歴、ログ、リファラーヘッダーに露出するため、現在ではほとんど使用されていません。しかし、現代のブラウザがこの構文をサポートし続けているため、攻撃者はこれを視覚的な欺瞞に悪用できます。

フィッシングシナリオでは、攻撃者はURLの「username」部分に信頼できるドメイン名を配置し、その直後に「@」記号と実際の悪意のあるドメインを続けます。リンクをざっと見たり、切り詰められたリンクを見たユーザーは、最初に信頼できるブランド名を目にし、ブラウザが実際には「@」の後のドメインに接続していることに気づかずにクリックしてしまう可能性があります。この手法は、メールクライアント、メッセージングアプリ、モバイルブラウザなど、URLがプレビューされたり切り詰められたりする環境で特に効果的です。なぜなら、最初の馴染みのあるテキストのみが表示されるためです。

GMOあおぞらネット銀行を標的としたキャンペーンの詳細

GMOあおぞらネット銀行を偽装する最初のBasic認証URLが特定された後、研究者たちは同様の構造を持つリンクの組織的なキャンペーンを発見しました。各URLは「gmo-aozora.com」(またはその変種)を「@」の前に埋め込み、同一のフィッシングページをホストする無関係なドメインに誘導していました。初期のURLは以下の通りです。

  • hxxps://gmo-aozora.com%25Z9IQ7POD%25b5r14s6j%257DdIL@coylums.com/sKgdiq

coylums.comblitzfest.compavelrehurek.comといったドメインはすべて、/sKgdiqのパスで同じフィッシングコンテンツを提供していました。これらのドメインは、URLが非アクティブになる前には、「Security Check」と表示された日本語のCAPTCHAページを表示し、ユーザーにロボットではないことを確認させ、「私はロボットではありません」のボックスをクリックさせることで、偽のログインフォームを表示する前に偽の信頼性を与えていました。

広範なフィッシングの傾向と日本のユーザーへの影響

Basic認証フィッシングの普及度を測るため、研究者たちは14日間に観測されたURLをサンプリングし、少なくとも214のユニークな例を特定しました。主要なグローバルブランドが標的となり、Amazon、Google、Facebook、Yahoo、LinkedIn、Netflix、DHL、FedEx、Bank of America、SoftBankなどが含まれます。例としては以下のものがあります。

  • Amazon: hxxps://amazon.jp-bghqtjbe%2Fufeuxoj…@lyfak.com/xekqxdyfj/rovglb…
  • Google: hxxps://accounts.google.com+signin=secure…@lzx.enj.mybluehost.me/wp-admin…
  • Facebook: hxxps://facebook.com@links.truthsocial.com/link/114903467869602196

驚くべきことに、214のURLのうち153(約71.5%)は、.jpトップレベルドメインやdocomo.co.jp、ocn.ne.jpなどの日本固有のドメインを組み込むことで、日本のユーザーと組織を特に標的としていました。フィッシングメールは、アカウント閉鎖、セキュリティ警告、請求問題などの緊急通知を装い、ユーザーに欺瞞的なリンクをクリックさせ、偽のログインまたは認証プロセスを完了するよう促していました。

対策と今後の課題

この調査は、Basic認証URLフォーマットのようなレガシーなウェブ機能が、脅威アクターの武器として依然として強力であることを強調しています。安全な使用のために非推奨とされているにもかかわらず、この技術の現代のブラウザとの互換性とユーザーを視覚的に誤解させる能力が、その有効性を維持しています。日本の金融機関や消費者ブランドに対するこのキャンペーンが示すように、一見古風な機能でも、標的型ソーシャルエンジニアリングと組み合わせることで、洗練されたフィッシング操作を助長する可能性があります。

リンクの注意深い検査と、ブラウザUIの改善された視覚的合図が、これらの欺瞞的で単純ながらも影響力のある攻撃を軽減するために不可欠です。

元記事: https://gbhackers.com/basic-auth-urls/

投稿をさらに読み込む