New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

Google DrawingsとWhatsAppのオープンリダイレクトフィッシングのデコード

|

オープンリダイレクトキャンペーンは(例: EvilProxy そして Browser in the Browser(BITB)、何年も前から存在している攻撃タイプです。この脅威は、ユーザーが信頼できるWebサイトと思われる場所に誘導され、攻撃者が制御するサイトにリダイレクトされるというものです。この場合、攻撃者は、攻撃要素をホストするGoogleやWhatsAppなど、コンピューティング分野で最も有名なWebサイトのグループを選択して脅威を構築し、被害者の情報を収集するAmazonの類似サイトを選択します。この攻撃は信頼されたWebサイトを利用した攻撃手法 (LOTS : Living Off Trusted Sites)の好例です。

仕組み

これは、 フィッシング 被害者をAmazonアカウント確認リンクのようなグラフィックに誘導する電子メールです。

このグラフィックは、実際にはGoogle Workspaceスイートの一部であるGoogle Drawingsでホストされており、ユーザーがグラフィックを共同編集できるようになっています。

このようなサイトは通常、従来のセキュリティツールではブロックされません。攻撃開始時にGoogle Drawingsが魅力的なもう1つの点は、ユーザー(この場合は攻撃者)がグラフィックにリンクを含めることができることです。このようなリンクは、特にAmazonアカウントへの潜在的な脅威に警戒している場合にでも、ユーザーに気付かれずに済む可能性があります。

Digram depection of the attack chain with the step by step brakedown of phishing attack

被害者が「確認を続ける」リンクをクリックすると、実際の Amazon サインインページのようなページに移動します。実際には、その「確認を続ける」ボタンのリンクは、WhatsAppのURL短縮サービス「l.wl.co」を使用して作成されています。 URL短縮サービスは長いリンクを伝えるために使用すると利点がありますが、実際には悪意のあるサイトにつながっているという事実を隠すためにも使用できます。 

「l.wl.co」が選ばれたのは、このサービスで作成された短縮されたWhatsAppリンクが、まったく別のサイトにリダイレクトされているという警告がユーザーにまったく表示されないためだと考えています。追加の予防措置として、WhatsApp URL短縮サービスで作成されたリンクには、動的QRコード用のURL短縮サービスである別のURL短縮サービス「qrco [.] de」が追加されます。この2番目のステップは、セキュリティURLスキャナーを回避するために、元のリンクをさらに難読化することを目的としていると考えています。

リダイレクトされたリンクをクリックすると、被害者はAmazonのサインインページのようなページに移動します。

ユーザーが Amazonの認証情報を入力すると、次の 4 つのページが表示されます。

  • [セキュリティ]
  • 請求
  • 支払い
  • フィニッシュ

これらのページは、被害者のアカウントを保護するためのセキュリティ診断の実施に使用しているとされています。被害者の認証情報、4つのステップのそれぞれを完了する際に収集され、同じドメイン(/appswebpymentmanagebillinfoaccscure [.] tech2go [.] pro)でホストされた異なるURLパスを使用して攻撃者に送信されます。

つまり、被害者が考えを変えたり、この情報を渡す途中で止まったりしても、攻撃者はすでに完了したすべてのステップから重要なデータを入手できるということです。

保安検査ページでは、被害者に母親の旧姓、生年月日、電話番号などの個人情報を提示するよう求めています。その段階が完了すると、被害者はクリックして続行するように求められ、請求確認ページに移動します。

フィッシングされた請求ページでは、被害者のアカウントに関連付けられている完全な請求先住所の入力が求められ、支払い確認ページに送信されます。そのページでは、クレジットカードまたはデビットカードのほか、カード所有者の名前、フルカード番号、有効期限、セキュリティコードの入力を求められます。入力した情報が「検証」されている間、ユーザーは「完了」ページに移動します。

その後、被害者はフィッシングされた元のAmazonログインページに送り返されます。このページは本物のように見え、ユーザー名の形式、パスワードの長さ、適切なクレジット/デビットカード情報など、本物のサイトが要求する可能性のある内容をミラーリングしたいくつかのチェックと条件を提示しています。

多くのフィッシング攻撃によくあることですが、いったん認証情報入力して検証すると、同じ IP アドレスから Web ページにアクセスできなくなります。

あなたにできること

ユーザー教育が解決策だと信じたくなりますが、事実は別の話をしています。ユーザーセキュリティトレーニングは確かに役立ちますが、トレーニングだけに頼るのは間違いです。攻撃の種類が多すぎるからです。

セキュリティツールをさらに追加することもできますが、今回のような脅威、検知回避型脅威 (HEAT) はそれでも回避できます。これらの攻撃はブラウザで発生し、ユーザーが本能的に信頼しているブランドやドメインを悪用しているため、危険だと見分けるのは困難です。 現在、回避型の脅威は、ブラウザベースのフィッシング攻撃全体の 30% を占めています。 

ユーザーを保護するための最良かつ最も簡単に導入できる方法の1つは、Menlo Securityがこの脅威を捉えるために使用したツールがこちらです - Menlo HEAT Shield。HEAT Shieldは、リアルタイムのAI分析など、さまざまな方法を組み合わせてこのような脅威を捉えています。この技術は、独自のコンピュータービジョン、動的リスクスコアリング、オブジェクト検出モデル、およびWebページ要素の分析を使用して、ユーザー、および検知に依存する従来のセキュリティツールでは決して見えない脅威を捉えます。これらのチェックはリアルタイムで実行されるため、高い精度が得られ、即時対応が可能です。検出されると、脅威はブロックされ、ウェブサイトは再分類されます。

Menloはこれに似たフィッシングURLを毎日キャプチャしていることに注意してください。

フィッシングなどの脅威に関するさらに詳しい情報については、次のことをお勧めします。 ブラウジング・フォレンジック このような攻撃が発生したときにユーザーセッションをキャプチャするように設定すると、Browsing Forensicsはユーザーセッション自体を詳細に表示できます。これらのキャプチャには画面が含まれており、SOCチームは再生ボタンを押すだけで画面をスクロールできます。その他の詳細情報には、ユーザー入力や、Javascript、CSS、HTML などの情報を含むページリソース自体のキャプチャが含まれます。これにより、脅威ハンターは、Webページ自体が利用できない場合でも、攻撃者の手法を調べることができます。

テクニカル分析の詳細を確認するには、 ここからダウンロードしてください。

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail