ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

Menlo Threat Labs がキャプチャを使ったフィッシング攻撃を発見

|

メンロセキュリティ IsoC—当社の隔離機能を活用したSOCサービスでは、ホスピタリティ業界を標的としたクレデンシャルフィッシングキャンペーンを特定しました。Menlo Labs の研究者は、このキャンペーンをさらに深く掘り下げてみることにしました。興味深いキャンペーンであることが判明したので、それができてよかったです。

攻撃者には成功確率を高めるための主な戦略が2つあり、その目標を達成するために多大な努力をしていることは以前からわかっています。

  1. クレデンシャルフィッシング攻撃を正当なものに見せかける
  2. セキュリティ研究者や自動化ツールがインフラストラクチャを検出するのを防ぎます。

クレデンシャルフィッシング攻撃を正当なものに見せかけるには、攻撃者は次のことを確認する必要があります。

  1. メールは適切なタイミングで送信されます。
  2. 彼らの認証情報フィッシングランディングページは、認証情報を盗もうとしているウェブプロパティとまったく同じように見えます。
  3. メール本文は、ユーザーにリンクをクリックさせるほど説得力があります。

これらすべてには、成功の可能性を高めるために、ある程度の創造性と真剣な偵察スキルが必要です。また、攻撃者は、セキュリティ研究者やその他の自動化システムが自分のページやインフラストラクチャーを特定できないようにする必要があります。私たちが観察した手法には次のようなものがあります。

  1. 攻撃対象の IP アドレスの範囲からユーザーがアクセスしていない場合に、ページを正規のページにリダイレクトする。
  2. ユーザーの位置情報が被害企業の位置情報と一致しているかどうかを確認します。

私たちが確認したフィッシング攻撃は、Microsoft Office 365ページを装おうとしていました。マイクロソフトは、たまたま当社の顧客ベース全体で最もフィッシングされているブランドです。これは、多くの企業で O365 の採用が増加していることと、サイバー犯罪者が正規のアカウントを乗っ取り、それを利用して企業内でさらなる攻撃を仕掛けようとしている結果です。

自動クロールシステムを無効にし、人間がページとやり取りしていることを確認するために、攻撃者は認証情報のフィッシングページを何層にも重ねたビジュアルキャプチャの背後に配置します。これにより、ユーザーは適切な画像セットをクリックしてボットではないことを確認する必要があります。次のスクリーンショットは、攻撃のワークフローを示しています。図 1 では、ロボットではないことを確認するようユーザーに明示的に求めています。これはよくあることですが、LinkedIn や Google などの多くの Web サイトでは、同じ操作をユーザーに求めています。ここでは2つの重要なことが起こっています。1つ目は、ユーザーの認知バイアスが原因で、このようなチェックは無害なウェブサイトにしか表示されないと信じ込ませているため、ユーザーにこのサイトは合法的なサイトだと思わせていることです。この戦略が次に行うことは、フィッシング攻撃を特定しようとする自動クロールシステムを阻止することです。

screenshot of captcha
フィギュア 1
screenshot of captcha
フィギュア 2

最初のチェックに加えて、攻撃者は最初のキャプチャが自動システムで無効になった場合に備えて、他に2つのキャプチャを設計しました。図 2 は、表示される 2 番目のキャプチャを示しています。このキャプチャ手法では、人間が自転車と一致する画像タイルをすべて選択してから、図 3 の別のキャプチャを実行して、横断歩道に一致するすべての画像を人間に確認してもらいます。これらすべてのチェックに合格すると、ユーザーは最後のランディングページに移動し、図 4 に示すように、O365 のユーザーの認証情報を盗もうとします。

ただし、攻撃者は同じキャプチャを使用しないことに注意してください。私たちのテストでは、少なくとも4つの異なる画像が表示されました。

screenshot of captcha
フィギュア 3
screenshot of login screen
フィギュア 4

結論

フィッシングは、企業に影響を与える最も一般的な攻撃ベクトルです。これらの攻撃は、私たちが本来持っている認知バイアスを利用して、ユーザーを騙して認証情報を入力させます。このバイアスと攻撃者が用いる戦術が相まって、これらの攻撃は非常に成功しています。

メールフィッシングの詳細については、以下の電子書籍をダウンロードしてください。Eメールの脅威からの保護

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail