Flipper Zero

新しいフィッシング キャンペーンは、Flipper Zero に対するセキュリティ コミュニティ メンバーの関心の高まりを悪用して、個人情報と暗号通貨を盗もうとしています。

Flipper Zero は、ペンテスターやハッキング愛好家向けのポータブルな多機能サイバーセキュリティ ツールです。このツールを使用すると、RFID エミュレーション、デジタル アクセス キーの複製、無線通信、NFC、赤外線、Bluetooth などをサポートすることで、研究者はさまざまなハードウェアをいじることができます。

開発者は、大成功を収めた 2020 Kickstarter キャンペーンの後、4,882,784 ドルの誓約を受け取った後、60,000 ドルの資金調達目標を 81 倍上回った後、デバイスを発売しました。

それ以来、セキュリティ研究者がソーシャル メディアで Flipper Zero の果てしなく面白い機能とやや恐ろしい機能をデモンストレーションしたことで、このデバイスに関する誇大宣伝が生まれ、意欲的なハッカーや研究者の関心が高まりました。

しかし、昨年は生産上の問題が発生し、製品の供給が不足し、依然として増加する需要を満たすことができなくなりました。

2022 年 9 月、 デジタル決済プラットフォームの PayPal による収益の保留により、プロジェクトは危険にさらされ、新しい生産バッチを注文する予定の 130 万ドルを保持することで、その生産が危険にさらされました。

サイバーセキュリティ研究者を標的にする

攻撃者は現在、Flipper Zero への大きな関心とその可用性の欠如を利用して、それを販売するふりをして偽のショップを作成しています。

これらのフィッシング キャンペーンは、3 つの偽の Twitter アカウントと 2 つの偽の Flipper Zero ストアを発見したセキュリティ アナリストのDominic Alvieriによって発見されました。

一見すると、偽の Twitter アカウントの 1 つが、フリッパー ゼロの公式アカウントと同じハンドルを持っているように見えます。ただし、実際には名前に大文字の「I」が使用されており、Twitter の「l」のように見えます。

偽の Twitter アカウント (左) 本物の Twitter アカウント (右)
偽の Twitter アカウント (左) 本物の Twitter アカウント (右)
ソース:

この偽の Twitter アカウントは、利用可能性や他のアカウントのツイートに積極的に反応して、正当に見せかけています。

これを書いている時点で、偽のショップの 1 つがオンラインのままで、Flipper Zero、Wi-Fi モジュール、およびケースを実際のショップと同じ価格で販売しているふりをしています。

偽フリッパーゼロショップ
偽フリッパーゼロショップ
ソース:

目的は、購入者をフィッシング チェックアウト ページに誘導することです。そこで、電子メール アドレス、氏名、配送先住所の入力を求められます。

注文ページのフィッシング ステップ
注文ページのフィッシング ステップ
ソース:

次に被害者は、イーサリアムまたはビットコイン暗号通貨を使用して支払う選択肢が与えられ、注文は送信後 15 分以内に処理されることが通知されます。

お支払い方法の選択
お支払い方法の選択
ソース:

リストされたウォレット アドレスは支払いを受け取っていないため、特定のショップがセキュリティ研究者をだますことができなかったか、トランザクションごとに新しいウォレットを使用したかのいずれかです。

その後、攻撃者は plisio.net の請求書を使用して暗号通貨の支払いを受け入れるように切り替えており、これには現在 Litecoin が含まれています。ただし、 これらの請求書は機能しておらず、注文の有効期限が切れていると記載されています。

関心と不足が続く限り、サイバー犯罪者は偽のショップを通じてフリッパー ゼロになりすまし、セキュリティ愛好家をだまして個人情報と仮想通貨を手放そとし続けます。

このため、これらのプロモーションや、すぐに商品を入手できると主張するショップに注意し、公式ストアからのみ購入することが重要です。