巧妙化するフィッシング詐欺:スパムフィルター通知を悪用
サイバー犯罪者たちは、組織内のセキュリティシステムへの信頼を悪用し、正規のスパムフィルター通知を装ったメール配信通知を偽装する巧妙なフィッシングキャンペーンを展開しています。これらの欺瞞的なメールは、メールアカウント、クラウドストレージ、その他の機密システムを危険にさらす可能性のあるログイン情報を盗むように設計されています。
攻撃の手口:偽の「受信トレイへ移動」ボタン
攻撃は、組織のセキュアメッセージシステムの最近のアップグレードにより、保留中のメッセージが受信者の受信トレイに届かなかったと主張するメールから始まります。この通知は、ターゲットのメールアドレス、疑いを抱かせないように設計された一般的な件名、および構造化された形式で表示されるステータス情報を含む、プロフェッショナルに見える配信レポートを表示します。
受信者は、これらの「保留中のメッセージ」を取得するために「受信トレイへ移動」ボタンをクリックするよう促され、確認後1〜2時間以内に配信されるという保証が添えられています。
技術的な欺瞞:リアルタイムの認証情報窃取
主要なアクションボタンと購読解除リンクの両方が、cbssports[.]comを介したリダイレクトメカニズムを利用して、実際の宛先であるmdbgo[.]ioドメインでホストされているフィッシングサイトを隠蔽しています。このキャンペーンタイプは、Unit42のセキュリティ研究者によって最初に特定され、そのメカニズムに関する詳細な調査が促されました。
フィッシングインフラは、注目すべき高度さを示しています。偽装されたメール内のリンクは、ターゲットのメールアドレスをbase64エンコードされた文字列としてフィッシングサイトに渡し、その後、被害者のドメインが事前に入力された偽のログイン画面が表示されます。このパーソナライゼーションは、慎重なユーザーでさえも騙す可能性のある正当性の錯覚を生み出します。
最近の分析によると、この攻撃バリアントは当初報告されたよりもさらに高度になっています。フィッシングサイトは、高度に難読化されたコードを使用し、ブラウザとサーバー間の継続的な電話のように機能する永続的な接続であるWebSocketテクノロジーを介して認証情報を収集します。ユーザーが送信ボタンをクリックしたときにデータを送信する従来のWebフォームとは異なり、WebSocketは被害者が入力すると同時に情報を瞬時に送信します。
このリアルタイムのデータ流出により、攻撃者は認証情報が入力された瞬間にそれらを受け取ることができ、さらに二要素認証(2FA)コードを要求する追加のプロンプトを送信することも可能です。攻撃者がこれらの詳細を入手すると、メールアカウント、クラウドに保存されたファイルに即座にアクセスし、他のサービスのパスワードをリセットし、複数のプラットフォームで被害者になりすますことができます。
身を守るための対策
セキュリティ専門家は、これらの脅威を回避するための2つの基本的なルールを強調しています。それは、未承諾の添付ファイルを絶対に開かないこと、そして認証情報を入力する前に、ブラウザのウェブサイトアドレスが期待される正規のサイトと一致していることを常に確認することです。
すでに疑わしいサイトに認証情報を入力してしまった場合は、直ちにパスワードを変更してください。Malwarebytes Browser Guardのようなセキュリティソリューションは、認証情報が入力される前に既知のフィッシングサイトへのアクセスをブロックすることで、追加の防御層を提供できます。
追加の保護対策には、以下のものが含まれます:
- 送信者のメールアドレスの認証性を確認する。
- 予期しない添付ファイルやリンクを別の通信チャネルで確認する。
- ウェブ保護機能を備えた最新のセキュリティソフトウェアを維持する。
- すべてのデバイスとソフトウェアを最新の状態に保つ。
- すべてのアカウントで多要素認証(MFA)を有効にする。
- 不正なサイトで認証情報を自動入力しないパスワードマネージャーを使用する。
組織は、サイバー犯罪者が信頼されたエンティティになりすまして信頼を得たり、システムにアクセスしたり、データを盗んだり、マルウェアを拡散したりするスプーフィング戦術について従業員を教育するべきです。メールスプーフィングは、情報を盗んだりマルウェアをインストールしたりすることを目的としたフィッシング攻撃の一部として、偽の送信元アドレスでメッセージを明示的に送信することを含みます。