Last Updated on 2024-03-02 08:43 by 荒木 啓介
2024年3月1日、新たなフィッシングキットが観察され、主にモバイルデバイスを対象として、有名な暗号通貨サービスのログインページを模倣する攻撃クラスターの一部として機能していることが報告された。このキットは、攻撃者がシングルサインオン(SSO)ページの炭素コピーを作成し、メール、SMS、音声フィッシングの組み合わせを使用して、ユーザー名、パスワード、パスワードリセットURL、写真IDなどの情報を共有するようターゲットを騙すことを可能にする。対象となるのは、連邦通信委員会(FCC)の従業員、Binance、Coinbaseなどの暗号通貨プラットフォームのユーザーであり、これまでに100人以上がフィッシングの被害に遭っている。
フィッシングページは、被害者がhCaptchaを使用してCAPTCHAテストを完了した後にのみ偽のログイン画面が表示されるように設計されており、自動分析ツールによるサイトのフラグ付けを防ぐ。一部のケースでは、これらのページは、アカウントのセキュリティを確保するためと称して、企業のカスタマーサポートチームを装った不審な電話やテキストメッセージを通じて配布される。ユーザーが認証情報を入力すると、2要素認証(2FA)コードの提供を求められるか、提供された情報の検証を「待つ」ように言われる。
Lookoutによると、このフィッシングキットは、運営者がフィッシングページをリアルタイムでカスタマイズし、被害者の実際の電話番号の最後の2桁を提供し、6桁または7桁のトークンを求めるかどうかを選択できることで、信頼性の錯覚を与えることを試みている。ユーザーが入力した一度きりのパスワード(OTP)は、脅威アクターによってキャプチャされ、提供されたトークンを使用して所望のオンラインサービスにサインインする。
このキャンペーンは、Scattered Spiderとの類似点を共有しており、Oktaの模倣や、グループと関連付けられているドメインの使用が指摘されている。しかし、フィッシングキット内の機能やC2インフラストラクチャには、Scattered Spiderが作成する可能性のあるURLや偽ページと類似しているが、顕著な違いがある。このタイプの模倣は、特に一連の戦術や手順が公に成功している場合、脅威アクターグループ間で一般的である。
また、これが単一の脅威アクターによる作業なのか、異なるグループによって使用されている共通のツールなのかは現時点では明らかではない。高品質なフィッシングURL、正規のサイトの外観と完全に一致するログインページ、緊急性の感覚、SMSと音声通話を通じた一貫した接続が、脅威アクターが高品質のデータを盗むことに成功している要因であるとLookoutは指摘している。
【ニュース解説】
2024年3月1日に観察された新たなフィッシングキットは、主にモバイルデバイスを対象に、有名な暗号通貨サービスのログインページを模倣する攻撃クラスターの一部として機能しています。このキットは、攻撃者がシングルサインオン(SSO)ページの炭素コピーを作成し、メール、SMS、音声フィッシングの組み合わせを使用して、ユーザー名、パスワード、パスワードリセットURL、写真IDなどの情報を共有するようターゲットを騙すことを可能にします。対象となるのは、連邦通信委員会(FCC)の従業員、Binance、Coinbaseなどの暗号通貨プラットフォームのユーザーであり、これまでに100人以上がフィッシングの被害に遭っています。
このフィッシングキットの特徴は、被害者がhCaptchaを使用してCAPTCHAテストを完了した後にのみ偽のログイン画面が表示されるように設計されており、自動分析ツールによるサイトのフラグ付けを防ぐ点にあります。一部のケースでは、これらのページは、アカウントのセキュリティを確保するためと称して、企業のカスタマーサポートチームを装った不審な電話やテキストメッセージを通じて配布されます。ユーザーが認証情報を入力すると、2要素認証(2FA)コードの提供を求められるか、提供された情報の検証を「待つ」ように言われます。
このフィッシングキットは、運営者がフィッシングページをリアルタイムでカスタマイズし、被害者の実際の電話番号の最後の2桁を提供し、6桁または7桁のトークンを求めるかどうかを選択できることで、信頼性の錯覚を与えることを試みています。ユーザーが入力した一度きりのパスワード(OTP)は、脅威アクターによってキャプチャされ、提供されたトークンを使用して所望のオンラインサービスにサインインします。
このキャンペーンは、Scattered Spiderとの類似点を共有しており、Oktaの模倣や、グループと関連付けられているドメインの使用が指摘されています。しかし、フィッシングキット内の機能やC2インフラストラクチャには、Scattered Spiderが作成する可能性のあるURLや偽ページと類似しているが、顕著な違いがあります。このタイプの模倣は、特に一連の戦術や手順が公に成功している場合、脅威アクターグループ間で一般的です。
また、これが単一の脅威アクターによる作業なのか、異なるグループによって使用されている共通のツールなのかは現時点では明らかではありません。高品質なフィッシングURL、正規のサイトの外観と完全に一致するログインページ、緊急性の感覚、SMSと音声通話を通じた一貫した接続が、脅威アクターが高品質のデータを盗むことに成功している要因であると指摘されています。
このフィッシングキットの出現は、暗号通貨ユーザーにとって新たな警告となります。攻撃者はますます巧妙な手法を用いて個人情報を盗み出そうとしており、ユーザーは自身のデータを守るために、受け取るメッセージの真偽を慎重に判断し、不審なリンクやメッセージには反応しないようにする必要があります。また、このような攻撃の増加は、暗号通貨サービス提供者にとっても、セキュリティ対策の強化とユーザー教育の重要性を改めて示しています。長期的には、フィッシング攻撃の検出と防止技術の進化が期待されますが、ユーザー自身の警戒心も不可欠です。
from New Phishing Kit Leverages SMS, Voice Calls to Target Cryptocurrency Users.
“警報: 新型フィッシングキットが暗号通貨ユーザーを狙う、100人以上が既に被害に” への1件のコメント
この報告された新たなフィッシングキットは、現代社会の技術依存がもたらす脅威の一面を浮き彫りにしています。特に、暗号通貨のようなデジタル資産の取引が日常化している今、セキュリティ対策の重要性はますます高まっています。攻撃者がシングルサインオン(SSO)ページの炭素コピーを作成し、メール、SMS、音声フィッシングの組み合わせを駆使して対象を騙す手法は、高度な技術と緻密な計画を要するものであり、その巧妙さには驚かされます。
私たちユーザー側も、セキュリティに対する意識を高め、受け取るメッセージの真偽を慎重に判断することが必須です。不審なリンクやメッセージに反応しない、2要素認証を有効にするなど、自衛手段を講じることが重要でしょう。また、暗号通貨サービス提供者は、セキュリティ対策の強化とともに、ユーザー教育にも力を入れる必要があります。ユーザーがフィッシング攻撃を見分け、適切に対応できるようにすることが、被害拡大を防ぐ鍵となります。
さらに、このような攻撃の増加は、フィッシング攻撃の検出と防止技術の進化を促進する一因ともな