高度なフィッシング キットが 9 月中旬から北米の人々を標的にしており、レイバー デーやハロウィーンなどの祝日に焦点を当てたルアーを使用していることがわかりました。
このキットは、複数の回避検出技術を使用し、被害者以外をフィッシング ページから遠ざけるためのいくつかのメカニズムを組み込んでいます。
セキュリティ研究者がキャンペーンを発見した Akamai によると、キットの最も興味深い機能の 1 つは、各被害者が固有のフィッシング ページ URL に確実にリダイレクトされるようにするトークンベースのシステムです。
攻撃概要
Akamai が発見したキャンペーンは 2022 年 9 月に開始され、10 月まで続き、「ホリデー スペシャル」を探しているオンラインユーザをターゲットにしていました。
潜在的な被害者に送信されるフィッシング メールの主なテーマは、評判の良いブランドから賞品を獲得するという謳い文句です
メール内のリンクは、一連のリダイレクトの後にフィッシング サイトにつながるため、警告を発することはありませんが、URL 短縮サービスはほとんどの URL を隠します。
さらに、攻撃者は Google、AWS、Azure などの正当なクラウド サービスを悪用し、評判を悪用して保護メカニズムを回避します。
フィッシング サイトにアクセスした全員が、簡単なアンケートに回答した後、約束された賞品を獲得します。さらに、5 分間のタイマーにより、アンケートの回答者は切迫感を感じることができます。
一部のなりすましブランドには、スポーツ用品会社の Dick’s、高級旅行鞄メーカーの Tumi、Delta Airlines、卸売りクラブの Sam’s Club や Costco などがあります。
ソース: ScamWatcher
キャンペーンの有効性を高めるために、フィッシング アクターは、受け取った賞品を紹介する偽のユーザーの証言を含めます。
出典:アカマイ
賞品を「獲得」した後、被害者は賞品を受け取るための送料を負担するように要求され、支払いカードの詳細を入力する必要があります。
もちろん、出荷される賞品はありません。クレジット カードの詳細は、攻撃者によってオンライン購入に使用されるために盗まれます。
アカマイによると、フィッシング ドメインに到達するユーザーの約 89% は米国とカナダのユーザーです。
正確な場所に応じて、リダイレクトにより、ローカルで利用可能なブランドを装った別のフィッシング サイトに誘導されます。
各被害者は固有の URL を取得
各フィッシング メールには、リンク先ページの特定の部分に訪問者を誘導するために通常使用されるアンカー (#) 付きのランディング ページへのリンクが含まれています。
このフィッシング キャンペーンでは、アンカー タグは、ターゲットがリダイレクトされる URL を再構築するために、フィッシング ランディングで JavaScript によって使用されるトークンを表します。
「HTML アンカーの後の値は HTTP パラメーターとは見なされず、サーバーに送信されませんが、被害者のブラウザーで実行されている JavaScript コードからこの値にアクセスできます」 と Akamai は説明します。
「フィッシング詐欺のコンテキストでは、悪意があるかどうかを検証するセキュリティ製品によってスキャンされたときに、HTML アンカーの後に配置された値が無視または見落とされる可能性があります。」
「トラフィック検査ツールで表示すると、この値も見逃されます。」
Akamai は、フィッシング リンク アンカーを使用してリダイレクト リンクを作成する方法を示す次の画像を共有しました。
出典:アカマイ
セキュリティ製品とネットワーク トラフィック検査ツールはこのトークンを見逃すため、フィッシング アクターにリスクをもたらすことはありません。
代わりに、不要なトラフィック、研究者、アナリスト、ランダムな訪問者をフィッシングのランディング ページから遠ざけるのに役立ちます。
有効なトークンがなく、レンダリングに JavaScript を使用しないブラウザー リダイレクトでは、フィッシング サイトにアクセスできません。
被害者以外のフィルタリングとは別に、トークンは被害者固有の追跡、キャンペーンのパフォーマンス測定などにも使用できます。
要約すると、このキットは有効性と検出回避のためのほぼすべての既知の技術を組み合わせており、北米の人々にとって強力な脅威となっています。
ブラック フライデーとクリスマスのショッピング シーズンが近づいているため、消費者はプロモーションや特別オファーに関するメッセージを受け取ったときに、特に注意を払う必要があります。
Comments