人間の手が赤い電話の受話器を持っている出典:Brian Jackson(Alamy Stock Photo経由)
ハッカーは、なりすましによって、Microsoft、PayPal、Docusign、その他の有名ブランドを装い、コールバック型フィッシング詐欺を仕掛け、機密情報の窃取やマルウェアの配布を狙っています。これらの攻撃は、従来のフィッシングキャンペーンで使われる偽のウェブサイトやリンクの代わりに、被害者自身が重要な取引を処理しなければならないと信じて攻撃者に電話をかける手法を利用しています。
Cisco Talosの研究者は、ここ数か月で高度なソーシャルエンジニアリングを用いた電話指向型攻撃配信(TOAD)キャンペーンの急増を観測したと、レポート(7月2日公開)で明らかにしています。これらの手法は、信頼できるかつ緊急性の高いPDFやその他のメッセージをエンドユーザーに送り、攻撃者が管理する電話番号に電話をかけるよう仕向けるものです。
Cisco Talosによると、ウェブ上のやり取りではなく直接音声通話を利用して被害者をだますことで、フィッシングのシナリオにおいて攻撃者に大きな優位性をもたらします。このようなコミュニケーションは、電話によるやり取りへの信頼や、電話が安全な組織との連絡手段であるという認識を悪用するものだと報告されています。
「さらに、電話中のリアルタイムなやり取りによって、攻撃者はソーシャルエンジニアリングの手法を用いて被害者の感情や反応を操作できます」と、Cisco TalosのセキュリティリサーチリードであるOmid Mirzaei氏は投稿で述べています。このようにして、攻撃者は機密情報を引き出したり、マルウェア配布などの悪意ある活動のために被害者にデバイスへのアクセスを許可させたりすることができます。
しかし、これらの攻撃は、ビッシング詐欺(攻撃者が電話を受けて悪意ある活動を行う手法)とは明確に異なります。TOAD攻撃では、被害者はすでに正規の組織に連絡していると信じており、知らない相手からの電話に応答しているわけではないため、電話をかける際に警戒心が薄れている可能性が高いと報告されています。
TOADの手口
Cisco Talosが5月5日から6月5日にかけてブランドなりすましメール検出の一環として追跡したキャンペーンの多くは、米国またはヨーロッパ発でしたが、南米、アジア、アフリカにもいくつか散見されました。この期間に最もなりすまされたブランドは、Microsoft、Norton Lifelock、PayPal、DocuSign、Best BuyのGeek Squadでした。
攻撃者は、特定の個人や物理的な場所を特定されにくいという理由から、携帯電話や従来の固定電話番号ではなく、インターネット電話(VoIP)番号を使用する傾向があるとMirzaei氏は述べています。
また、電話番号に関する情報がURLやファイルなど他のアーティファクトに比べて収集・共有されるスピードが遅いため、攻撃者は同じ番号を連続して数日間使い回すこともあるとMirzaei氏は述べています。例えば、研究者はGeek Squadになりすましたメールで1-818-675-1874という番号が4日連続で使われているのを観測しました。
「ほとんどの場合、サイバーセキュリティ企業がメールで観測した電話番号は、サードパーティのレピュテーションサービスと共有されていませんし、その逆も同様です」と彼は書いています。「その結果、これらの電話番号は数日間発見されずに使われ続けることが多いのです。」
番号の使い回しは、詐欺コールセンターにとっても、複数段階のソーシャルエンジニアリング攻撃やコールバックのスケジューリング、被害者との信頼構築に一貫性を持たせるなど、ロジスティクス面での利点があります。また、有料VoIPサービスを利用している場合、コスト削減にもつながります。
さまざまな攻撃手法
レポートでは、攻撃者がターゲットに電話をかけさせて攻撃を仕掛けるさまざまな手法が詳述されています。あるTOAD攻撃では、セキュリティ企業McAfeeになりすまし、ユーザーが注文したサービスの請求書を送付したと偽り、その詳細を説明します。メッセージには、請求に同意しない場合に連絡するカスタマーサービスの電話番号が記載されています。
他の攻撃手法では、Adobe PDFサービスを悪用し、PDFドキュメントを被害者に署名させるために送信し、そのPDFファイル内でMcAfeeの手口と同様の取引に関するメッセージを含めてコールバックを促します。例えば、PayPalの取引請求を通知し、取引に心当たりがない場合はカスタマーサービスに連絡するよう指示するメッセージがありました。
研究者が最近観測した別のブランドなりすましキャンペーンでは、TOADの手法から外れ、QRコードフィッシングが使われています。攻撃者はスキャン用のQRコードを埋め込み、被害者をフィッシングページにリダイレクトします。これらのメッセージもブランドなりすましを主要なソーシャルエンジニアリング手法として利用していると研究者は述べています。
トレーニングより技術対策を優先
ブランドなりすましは最も一般的なソーシャルエンジニアリング手法の一つであるため、組織はメールセキュリティ対策の一環としてなりすまし検出エンジンを導入すべきだとMirzaei氏は述べています。「ブランドなりすまし検出エンジンは、サイバー攻撃防御において極めて重要な役割を果たします」と彼は書いています。
また、最近の研究では従業員向けのサイバー意識トレーニングが期待された効果を上げていないことが判明していますが、1対1のトレーニングや、メール攻撃を阻止するために技術投資を強化することで、一定の予防効果が得られる可能性があります。
翻訳元: https://www.darkreading.com/endpoint-security/attackers-top-brands-callback-phishing