フィッシング キャンペーンは攻撃者が従来の SMS 配信と静的な認証情報盗難を放棄し、暗号化されたメッセージング チャネルとリアルタイムのアカウント乗っ取り技術を採用する新しい段階に入っています。
従来の SMS フィッシングとは異なり、RCS と iMessage はデータ ネットワーク上で エンドツーエンド暗号化で動作し、キャリアが悪意のあるコンテンツを検査またはブロックする能力を制限しています。
脅威行為者はこのギャップを利用して、これらのプラットフォームを通じてフィッシング リンクを配信しており、既読確認、メディア サポート、ブランド付きコンテンツなどの拡張機能により、メッセージはより正当に見えます。
この進化により、攻撃者は金融機関、電子商取引プラットフォーム、デジタル ウォレットなどの信頼できるサービスを模倣する説得力のあるおとり を作成することができます。これらのチャネルはユーザーから広く信頼されているため、被害者は悪意のあるリンクに関与する可能性が高く、無意識のうちに認証情報盗難ワークフローを開始します。
この新しい PhaaS エコシステムの特徴は、静的なフィッシング ページから ライブ インタラクション モデルへの移行です。被害者がログイン認証情報を送信すると、データはすぐに攻撃者が管理するパネルに中継されます。
その後、攻撃者は正当なワンタイム パスコード (OTP) リクエストをトリガーし、被害者をフィッシング ページに入力するよう騙します。
このリアルタイム インターセプションにより、攻撃者は数秒以内に多要素認証 (MFA) をバイパスできます。単に認証情報を盗むのではなく、脅威行為者はセッション トークンをキャプチャするか、支払いカードを攻撃者が管理するデジタル ウォレットにプロビジョニングすることに ますます注力しています。
Google 脅威インテリジェンス グループ (GTIG) によると、急速に拡大している中国語フィッシング・アズ・ア・サービス (PhaaS) エコシステムは、RCS と Apple iMessage を活用して通信キャリア レベルのセキュリティ フィルタリングをバイパスし、ソーシャル エンジニアリング攻撃の成功率を大幅に増加させています。
このプロセスは盗まれたカード詳細を トークン化されたアセットに変換し、接触型決済または高額取引に使用できます。
フィッシング キャンペーンが RCS と iMessage を悪用
GTIG の分析では、PhaaS プラットフォームは単なるロシア語圏のサイバー犯罪サービスの複製ではなく、独立した成熟したエコシステムを表していることが強調されています。
これらのサービスは Telegram で公然と広告され、盗まれたデータ販売、VPS ホスティング、ドメイン登録、マネーロンダリング支援を含む追加の犯罪提供をバンドルすることがよくあります。
特に、これらのキャンペーンは中国以外のユーザーを対象とする傾向があり、日本、ヨーロッパ、北米などの地域に強く焦点を当てています。YY Lai Yu などのプラットフォームは高度なローカライゼーション機能を備えており、特定の国、ブランド、消費者行動に合わせた数百のフィッシング テンプレートを提供しています。
たとえば、日本を標的にした攻撃者は、ロイヤリティ ポイントの引き換え、ユーティリティ補助金、PayPay や Rakuten などの人気のあるサービスに関与するローカライズされたおとりを使用してきました。これらの文化的に認識した戦術は、エンゲージメントと成功率を大幅に増加させます。
もう 1 つの大きな進歩は、人工知能がフィッシング操作に統合されることです。Darcula などのプラットフォームは AI を活用したツールを使用して、正当な Web サイトをリアルタイムで複製することにより、フィッシング ページを動的に生成します。
ターゲット URL から HTML、CSS、JavaScript を複製することにより、攻撃者は従来のシグネチャベースの検出システムを回避する一意のページを作成します。
さらに、多くのフィッシング サイトには、自動セキュリティ スキャンを防止するための手動検証ステップなどの反ボット メカニズムが含まれています。このセキュリティの追加レイヤーにより、検出とテイクダウンの努力がディフェンダーにとってより困難になります。
暗号化されたメッセージベースのフィッシングとリアルタイムの認証情報インターセプションの増加は、従来のディフェンスの制限を強調しています。ユーザー認識だけでは、もはや高度にインタラクティブでローカライズされた攻撃チェーンに対して十分ではありません。
セキュリティ専門家は、OTP への依存を排除する FIDO2 や WebAuthn などのフィッシング耐性認証方法を採用することをお勧めします。金融機関は、デジタル ウォレット プロビジョニング中にデバイス フィンガープリンティングとリスク ベースの検証を実装して、支払いカードの不正なトークン化を防止することも推奨されています。
フィッシング インフラストラクチャがより自動化され、グローバルにスケーラブルになるにつれて、ディフェンダーは検出から防止へ焦点をシフトし、認証情報が侵害されたとしても、それが効果的に悪用されないようにする必要があります。
翻訳元: https://gbhackers.com/phishing-campaigns-exploit-rcs-and-imessage/
