Phish n’ Ships」と名付けられたフィッシング・キャンペーンは、少なくとも2019年から実施されており、1000以上の正規オンラインストアに感染し、入手困難な商品の偽の商品リストを宣伝している。
疑うことを知らないユーザーがそれらの商品をクリックすると、何百もの偽のウェブストアのネットワークにリダイレクトされ、何も発送せずに個人情報と金銭を盗む。
Phish n’ Shipsを発見したHUMANのSatori Threat Intelligenceチームによると、このキャンペーンは数十万人の消費者に影響を与え、推定で数千万ドルの損失をもたらしているという。
Phish n’ Shipsの手口
この攻撃は、既知の脆弱性(n-days)、設定ミス、または侵害された管理者認証情報を悪用して、悪意のあるスクリプトで正規サイトを感染させることから始まります。
サイトが侵害されると、脅威行為者は「zenb.php」や「khyo.php」といった目立たない名前のスクリプトをアップロードし、偽の商品リストをアップロードします。
これらのアイテムには、SEOに最適化されたメタデータが付加されており、Googleの検索結果での視認性を高め、そこから被害者を引き寄せます。
被害者がこれらのリンクをクリックすると、最終的に詐欺的なウェブサイトにつながる一連のステップを経てリダイレクトされ、多くの場合、侵害されたEストアのインターフェイスを模倣したり、類似したデザインを使用したりします。
Satoriの研究者によると、これらの偽ショップはすべて14のIPアドレスからなるネットワークに接続されており、URLには特定できる文字列が含まれているという。
偽のショップで商品を購入しようとすると、被害者は合法的に見えるようにデザインされた偽のチェックアウトプロセスを経ますが、潜在的な詐欺の兆候であるデータ確認は含まれていません。
悪意のあるサイトは、被害者が注文フィールドに入力した情報(クレジットカード情報を含む)を盗み出し、攻撃者が管理する半合法的な決済処理アカウントを使用して支払いを完了させます。
購入した商品が購入者に発送されることはないため、被害者は金銭とデータの両方を失うことになる。
Satoriの調べによると、Phish n’ Shipsが活動していた5年間、脅威の主体は詐欺の収益を現金化するために複数の決済プロバイダを悪用していました。
さらに最近では、被害者のクレジットカード情報を直接詐取できるよう、偽のEショップサイトの一部に支払いメカニズムを実装するようになりました。
キャンペーンの中断
HUMANとそのパートナーは、Phish n’ Shipsへの対応を調整し、影響を受けた組織の多くに情報を提供し、偽のリストをGoogleに報告して削除できるようにした。
本稿執筆時点で、ほとんどの悪質な検索結果は削除され、特定されたほぼすべてのショップはオフラインになった。
また、詐欺師のキャッシュアウトを仲介していた決済代行業者にも適宜連絡が行き、プラットフォームから問題のアカウントを削除した。
にもかかわらず、脅威行為者はこの混乱に適応することができる。Satoriはこの活動が復活しないか監視を続けているが、彼らがあきらめて新たな買い物客詐取ネットワークを構築しようとしない可能性は低い。
消費者は、Eコマース・プラットフォームを閲覧する際には、通常とは異なるリダイレクトに注意し、商品を購入しようとする際には正しいショップのURLであることを確認し、不正請求があった場合にはできるだけ早く銀行や当局に報告することをお勧めする。
Comments