ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
今月初め、組織的なスパム対策キャンペーンのように見えて、モバイルユーザーがスミッシングメッセージの標的にされ始めました。スミッシングはよく似たようなものです。 フィッシングただし、攻撃者は電子メールを送信するのではなく、SMS(ショートメッセージサービス)を使用してテキストメッセージを送信します。SMS フィッシングとは、SMS フィッシングのことで、偽の米国郵政公社 (USPS) やフェデックスの貨物の最新情報や、偽の Amazon ロイヤルティプログラムの特典をテキストメッセージで送信しているのです。
このブログでは、モバイルデバイスからこのようなリンクにアクセスするリスクと、ゼロトラストアーキテクチャでモバイルデバイスを検討すべき理由に焦点を当てます。ゼロトラストは、すべてのウェブコンテンツが有害であることを想定し、ウェブサイトがユーザーのデバイス上でコードを実行することを防ぎます。このアプローチは、ユーザーの業務を妨げることなく、信頼できない攻撃者からユーザーを保護します。
このスミッシングキャンペーンはデバイスにとらわれないようです。このキャンペーンでは、リダイレクトメカニズムを使用して、クライアントのブラウザとデバイスに応じて異なるランディングページを配信します。
偽コンテンツを提供するために使用される最終的なランディングページのリンクは、一度だけ生成されます。これらのリンクにオフラインでアクセスしたり、再生しようとしたりすると、HTTP 404 エラーが発生します。
次の画像は、クライアントデバイスに基づくさまざまなランディングページのテーマを示しています。
スミッシングキャンペーンはデスクトップとモバイルデバイスの両方のユーザーをターゲットにしていますが、USPS、FedEx、UPSなどの郵便会社からの偽の貨物の最新情報でモバイルユーザーをターゲットにすることに焦点が当てられているようです。ユーザーはランディングページに移動し、そこでクレジットカードの詳細とその他の個人情報の入力を求められます。
次の表は、スミッシングキャンペーンのさまざまな段階でドメインをホストするために使用されているクラウドプロバイダーを示しています。
初期 URL リダイレクト URL (301/302) ランディングページ URL プロトコルHTTP
プロトコル:
HTTPS (証明書を暗号化しよう)
プロトコル:
HTTP/HTTPS (暗号化しましょう)
ホスティングプロバイダー:
アリババ
ホスティングプロバイダー:
リースウェブ Amazon アップクラウドアドヴァニアアイスランド
ホスティングプロバイダー:
クラウドフレアアマゾン
DNS プロバイダー:
ユニレジストリ
DNS プロバイダー:
名前安いゴーダディ
URL はスミッシング攻撃に使用されます。これらの URL の存続期間は通常非常に短く、「不明」に分類されます。URL に短時間アクセスしないと、ドメインが消えるか、リンクから HTTP 404 エラーメッセージが返されます。
上記の点を考慮すると、URLの分類と検出のベンダーが追いつくには時間がかかります。この種の分類の遅れは、「緑から赤」という用語で呼ばれることがよくあります。これは、URL がクリック時には「良性」または「不明」(緑)に分類されたが、後になって悪意のある、またはスパムになった(赤)という意味です。
ソース:ウイルストータルGoogle セーフブラウジング(GSB)でも、最初の URL とランディングページ URL の検出率が非常に低かった。すべての URL を GSB と照合することはできませんでしたが、ランダムサンプリングにより、安全でないとフラグが付けられていないランディングページ URL が 5 つと、最初の URL が 5 つ見つかりました。
初期 URL ドメイン IP (.com/.info TLD でホスト): 47 [.] 243 [.] 34 [.] 15147 [.] 242 [.] 142 [.] 3547 [.] 242 [.] 110 [.] 196
初期リンク URL の例 (モバイル):
hxxp [://] w7fzc [.] info/fu8rpoxd35HXXP [://] w4fza [.] info/jdsdorwycoHXXP [://] t9fzc [.] info/hxpl1o5bd2HXXP [://] eb31g [.] com/kblafmo4irHXXP [::/] gh18n [.] com/Lteyd8WMA5
ランディングページ IP (.best/.today TLD でホスト):
[3.] 233 [.] 37 [.] 12104 [.] 21 [.] 29 [.] 241
ランディングページ URL の例 (デスクトップ):
hxxps [://] ブートアップエクストリームベストプログレッシブファイル [.] best/uim0affkhwfxteqfd8Q4xelj60ae4znesPM7HMPVZAU?cid=71c7b44bf1e965b9afc7a61c63d26f98&sid=14872535hxxps [://] boot-upnewest-besttextremelyfile [.] best/yjmtjuqt15z23hf9ohcxrxl0hijfhbk010nuoq99m60?cid=09e93672f5d209ac48f4f7751a109c6f&sid=14872535hxxps [://] ブートアップオリジナルベストオーバーリーファイル [.] best/zlzpdmrpvkfxnouzcnqrjx5_ryyjjccqlch7LCSRVH0?clck=401228329111265625&sid=3877104hxxps [://] boot-upgreatly-best最新ファイル [.] best/rrovk9JJBC9piczuupv3npxwmio9v49eqjoucwvexJQ?cid=65562769b11b8011f6c59dce3b2f751d&sid=15888588
ランディングページ URL の例 (モバイル):
hxxps [://] usps-na [.] 今日の [.] 勝者/mm/u25k7hbp/index [.] phphxxps [://] ups-na [.] 今日の [.] 勝者/mm/k9bcvi9c/index [.] php?clickid=out&crid=80002437&cg=t2b8t38q0npyj7&source=187425779&target=ts5603-sms-a-3-US&camid=59639&br=unknown&ca=unknown&unknown&nknown&lpkey=160d173c74f1044011&clickcost=0 [.] 06&s2=de03b2tbzdubgi47ebs3=27&s4=80002437&s5=us&s6=1&domain=redirect [.] 今日の [.] 勝者&uclick=2tbzdubgi4&uclickhash=2tbzdubgi4-2tbzdubgi4-16ir-0-e2ci-gmzwwj-gmi kwj-d5d8f8&user=bc9b36b8e85cc3f2ece0f9aa6&country=enhxxps [://] fedex-na [.] today/mm/h26slqns/index [.] の勝者/.php
昨年のリモートワークの急増により、モバイルスミッシングとフィッシング攻撃の両方が増加しています。個人所有のデバイスを仕事に使用する傾向が強まっています。企業ネットワークに接続していないと、人々がより脆弱になる可能性もあります。モバイルデバイスとブラウザは、ゼロデイを悪用してソーシャルエンジニアリングされたフィッシング攻撃を仕掛けようとするサイバー攻撃者にとって魅力的なターゲットです。しかし、多くの組織では、モバイルセキュリティは後回しにされています。これらの攻撃に対抗するために、企業には以下の導入を検討することをお勧めします。 モバイルブラウザ分離ソリューション—ユーザーがスマートフォンやタブレットからインターネットや電子メールにアクセスしているときに、スミッシング、フィッシング、マルウェア攻撃の脅威を排除するように設計されたものです。会社とユーザーをスミッシングから守るためのヒント
Menlo Labsは、顧客が妥協することなく安全につながり、コミュニケーションし、コラボレーションできるよう支援するための洞察、専門知識、コンテキスト、およびツールを提供します。このエリート集団とその活動について詳しくは、 隔離セキュリティオペレーションセンター
