ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

スマッシュされたことはありますか?偽のAmazonやUSPSのアップデートメッセージでモバイルユーザーをターゲットにしたマススミッシングオペレーション

Krishnan Subramanian
|
April 27, 2021

スミッシング (SMS フィッシング) とは何ですか?

今月初め、組織的なスパム対策キャンペーンのように見えて、モバイルユーザーがスミッシングメッセージの標的にされ始めました。スミッシングはよく似たようなものです。 フィッシングただし、攻撃者は電子メールを送信するのではなく、SMS(ショートメッセージサービス)を使用してテキストメッセージを送信します。SMS フィッシングとは、SMS フィッシングのことで、偽の米国郵政公社 (USPS) やフェデックスの貨物の最新情報や、偽の Amazon ロイヤルティプログラムの特典をテキストメッセージで送信しているのです。

このブログでは、モバイルデバイスからこのようなリンクにアクセスするリスクと、ゼロトラストアーキテクチャでモバイルデバイスを検討すべき理由に焦点を当てます。ゼロトラストは、すべてのウェブコンテンツが有害であることを想定し、ウェブサイトがユーザーのデバイス上でコードを実行することを防ぎます。このアプローチは、ユーザーの業務を妨げることなく、信頼できない攻撃者からユーザーを保護します。

スミッシング・キャンペーン・ターゲット

このスミッシングキャンペーンはデバイスにとらわれないようです。このキャンペーンでは、リダイレクトメカニズムを使用して、クライアントのブラウザとデバイスに応じて異なるランディングページを配信します。

diagram showing smishing campaign targets

偽コンテンツを提供するために使用される最終的なランディングページのリンクは、一度だけ生成されます。これらのリンクにオフラインでアクセスしたり、再生しようとしたりすると、HTTP 404 エラーが発生します。

次の画像は、クライアントデバイスに基づくさまざまなランディングページのテーマを示しています。

screenshot of different smishing landing pages

スミッシングキャンペーンはデスクトップとモバイルデバイスの両方のユーザーをターゲットにしていますが、USPS、FedEx、UPSなどの郵便会社からの偽の貨物の最新情報でモバイルユーザーをターゲットにすることに焦点が当てられているようです。ユーザーはランディングページに移動し、そこでクレジットカードの詳細とその他の個人情報の入力を求められます。

インフラ

次の表は、スミッシングキャンペーンのさまざまな段階でドメインをホストするために使用されているクラウドプロバイダーを示しています。

初期 URL リダイレクト URL (301/302) ランディングページ URL プロトコルHTTP

プロトコル:

HTTPS (証明書を暗号化しよう)

プロトコル:

HTTP/HTTPS (暗号化しましょう)

ホスティングプロバイダー:

アリババ

ホスティングプロバイダー:

リースウェブ Amazon アップクラウドアドヴァニアアイスランド

ホスティングプロバイダー:

クラウドフレアアマゾン

DNS プロバイダー:

ユニレジストリ

DNS プロバイダー:

名前安いゴーダディ

URL の分類は猫の群れのようなもの

URL はスミッシング攻撃に使用されます。これらの URL の存続期間は通常非常に短く、「不明」に分類されます。URL に短時間アクセスしないと、ドメインが消えるか、リンクから HTTP 404 エラーメッセージが返されます。

  • 初期 URL ドメインをサンプリングしたところ、これらの初期 URL のほとんどは次のように分類されました。 不明 人気のURL分類プロバイダーによる。このブログを書いている時点では、 19 パーセント 最初の URL ドメインのうち、AV ベンダーから悪意のあるものとしてフラグが付けられています。
  • 最初の URL の有効期間は非常に短いです。このキャンペーンでは、モバイルユーザーにスミッシングメッセージを送り、リンクが比較的早くクリックされることを期待しています。数分後、ドメインは削除されるか、リンクから HTTP 404 エラーが返されます。
  • ランディングページのURLは1回限りの訪問リンクとして生成され、適切な方向チェーンと初期デバイスを経由した場合にのみ機能します。自動 URL スキャンツールまたは再生ツールでは、これらのランディングページ URL に移動しようとすると、ほとんどの場合 HTTP 404 エラーが発生します。

上記の点を考慮すると、URLの分類と検出のベンダーが追いつくには時間がかかります。この種の分類の遅れは、「緑から赤」という用語で呼ばれることがよくあります。これは、URL がクリック時には「良性」または「不明」(緑)に分類されたが、後になって悪意のある、またはスパムになった(赤)という意味です。

diagram showing time to URL categorization

ソース:ウイルストータルGoogle セーフブラウジング(GSB)でも、最初の URL とランディングページ URL の検出率が非常に低かった。すべての URL を GSB と照合することはできませんでしたが、ランダムサンプリングにより、安全でないとフラグが付けられていないランディングページ URL が 5 つと、最初の URL が 5 つ見つかりました。

screenshot of url with no unsafe content found

IOC

初期 URL ドメイン IP (.com/.info TLD でホスト): 47 [.] 243 [.] 34 [.] 15147 [.] 242 [.] 142 [.] 3547 [.] 242 [.] 110 [.] 196

初期リンク URL の例 (モバイル):

hxxp [://] w7fzc [.] info/fu8rpoxd35HXXP [://] w4fza [.] info/jdsdorwycoHXXP [://] t9fzc [.] info/hxpl1o5bd2HXXP [://] eb31g [.] com/kblafmo4irHXXP [::/] gh18n [.] com/Lteyd8WMA5

ランディングページ IP (.best/.today TLD でホスト):

[3.] 233 [.] 37 [.] 12104 [.] 21 [.] 29 [.] 241

ランディングページ URL の例 (デスクトップ):

hxxps [://] ブートアップエクストリームベストプログレッシブファイル [.] best/uim0affkhwfxteqfd8Q4xelj60ae4znesPM7HMPVZAU?cid=71c7b44bf1e965b9afc7a61c63d26f98&sid=14872535hxxps [://] boot-upnewest-besttextremelyfile [.] best/yjmtjuqt15z23hf9ohcxrxl0hijfhbk010nuoq99m60?cid=09e93672f5d209ac48f4f7751a109c6f&sid=14872535hxxps [://] ブートアップオリジナルベストオーバーリーファイル [.] best/zlzpdmrpvkfxnouzcnqrjx5_ryyjjccqlch7LCSRVH0?clck=401228329111265625&sid=3877104hxxps [://] boot-upgreatly-best最新ファイル [.] best/rrovk9JJBC9piczuupv3npxwmio9v49eqjoucwvexJQ?cid=65562769b11b8011f6c59dce3b2f751d&sid=15888588

ランディングページ URL の例 (モバイル):

hxxps [://] usps-na [.] 今日の [.] 勝者/mm/u25k7hbp/index [.] phphxxps [://] ups-na [.] 今日の [.] 勝者/mm/k9bcvi9c/index [.] php?clickid=out&crid=80002437&cg=t2b8t38q0npyj7&source=187425779&target=ts5603-sms-a-3-US&camid=59639&br=unknown&ca=unknown&unknown&nknown&lpkey=160d173c74f1044011&clickcost=0 [.] 06&s2=de03b2tbzdubgi47ebs3=27&s4=80002437&s5=us&s6=1&domain=redirect [.] 今日の [.] 勝者&uclick=2tbzdubgi4&uclickhash=2tbzdubgi4-2tbzdubgi4-16ir-0-e2ci-gmzwwj-gmi kwj-d5d8f8&user=bc9b36b8e85cc3f2ece0f9aa6&country=enhxxps [://] fedex-na [.] today/mm/h26slqns/index [.] の勝者/.php

結論

昨年のリモートワークの急増により、モバイルスミッシングとフィッシング攻撃の両方が増加しています。個人所有のデバイスを仕事に使用する傾向が強まっています。企業ネットワークに接続していないと、人々がより脆弱になる可能性もあります。モバイルデバイスとブラウザは、ゼロデイを悪用してソーシャルエンジニアリングされたフィッシング攻撃を仕掛けようとするサイバー攻撃者にとって魅力的なターゲットです。しかし、多くの組織では、モバイルセキュリティは後回しにされています。これらの攻撃に対抗するために、企業には以下の導入を検討することをお勧めします。 モバイルブラウザ分離ソリューション—ユーザーがスマートフォンやタブレットからインターネットや電子メールにアクセスしているときに、スミッシング、フィッシング、マルウェア攻撃の脅威を排除するように設計されたものです。会社とユーザーをスミッシングから守るためのヒント

  • に投資する 可視性ソリューション モバイルデバイスにまで及ぶ信頼できるセキュリティベンダーが提供しています。
  • を採用 ゼロトラストアーキテクチャ モバイルデバイス用。
  • 送信元が不明なテキストメッセージ内のリンクをクリックしたくなるような誘惑に負けないように、ユーザーをトレーニングして意識を高めましょう。

Menlo Labsは、顧客が妥協することなく安全につながり、コミュニケーションし、コラボレーションできるよう支援するための洞察、専門知識、コンテキスト、およびツールを提供します。このエリート集団とその活動について詳しくは、 隔離セキュリティオペレーションセンター

linkedin logotwitter/x logofacebook logoSocial share icon via eMail