新手のフィッシングキット「Spiderman」の登場
「Spiderman」と呼ばれる新たなフィッシングキットが登場し、欧州の多数の銀行および仮想通貨サービス顧客を標的にしています。このサービスは、本物のサイトと寸分違わない精巧なレプリカを使用して、サイバー犯罪者がログイン認証情報、2要素認証(2FA)コード、およびクレジットカードデータを詐取するフィッシングキャンペーンを簡単に展開できるように設計されています。
標的となる金融機関と機能
Varonisの研究者による分析によると、Spidermanフィッシングキットは、ドイツ銀行、ING、Comdirect、Blau、O2、CaixaBank、Volksbank、Commerzbankといった主要ブランドを含む5カ国の金融機関を狙っています。さらに、スウェーデンのサービスKlarnaやPayPalなどのフィンテック企業のオンラインポータル、およびLedger、Metamask、Exodusといった仮想通貨ウォレットのシードフレーズも盗み出す能力を持っています。
Varonisは、「Spidermanはモジュール化されているため、新しい銀行、ポータル、認証方法が追加される可能性があります。欧州諸国が更新されたeバンキングフローを展開するにつれて、このキットも並行して進化する可能性が高い」と報告しています。
サイバー犯罪者コミュニティでの人気と操作性
研究者らは、Spidermanがサイバー犯罪者の間で人気があり、Signal上のあるグループには750人のメンバーがいることを発見しました。運用者はダッシュボードから被害者のセッションをリアルタイムで監視し、認証情報を取得し、ワンクリックでデータをエクスポートできます。また、PhotoTANやワンタイムパスワード(OTP)コードをリアルタイムで傍受し、クレジットカード情報を収集することも可能です。
PhotoTANは、欧州の多くの銀行で利用されているOTPシステムで、ログイン時や取引承認時に表示される色付きのモザイク画像をユーザーが銀行アプリでスキャンし、アプリがデコードして取引固有のOTPを表示し、それを銀行サイトに入力するという仕組みです。PhotoTANのキャプチャはフィッシングキットにとって目新しい機能ではありませんが、欧州の機関を標的とするプラットフォームにとっては「必須」とされています。
高度なターゲティングと予防策
Spidermanの運用者は、コントロールパネルからターゲット範囲を設定でき、特定の国に限定したり、ISPの許可リスト、デバイスタイプフィルター(モバイルまたはデスクトップユーザー)を追加したり、フィッシング攻撃の対象とならない訪問者のリダイレクトを設定したりすることができます。
Varonisの研究者は、Spidermanによって詐取されたデータが、銀行口座の乗っ取り、SIMスワッピング、クレジットカード詐欺、および身元窃盗につながる可能性があると警告しています。
すべてのフィッシングキットは、被害者が偽のログインページに誘導されるリンクをクリックすることに依存しています。したがって、最善の防御策は、認証情報を入力する前に常に公式ドメインにいることを確認すること、そして正しいURLを表示しているように見せかける「ブラウザ内ブラウザ」の偽装がないかを二重にチェックすることです。身に覚えのないSMSやPhotoTANプロンプトがデバイスに届いた場合は、乗っ取りの試みである兆候であるため、直ちに銀行に報告する必要があります。