サイバー犯罪者がFacebook Messengerのチャットボットを悪用し、Meta For Businessのユーザーからビジネス情報やその他の機密データを盗み出すことを目的としたフィッシング攻撃を展開していたことが分かりました。
Huntressが発見したこのキャンペーンは、正規のFacebook Businessメールアカウントから送信されたように見せかけることで、多くの受信箱でセキュリティ検証チェックをすり抜けることに成功していました。
このフィッシングメールは、アカウントを「保護」するための認証を提供するという口実で被害者を誘い込もうとしていましたが、実際には攻撃者の狙いは正反対でした。目的は、パスワードや多要素認証(MFA)コード、ビジネス用および個人用の電話番号、メールアドレス、さらには被害者本人の政府発行ID(運転免許証やパスポート)の画像を含む認証情報を盗み出すことでした。
この不正なキャンペーンは2025年11月頃に始まり、Metaが攻撃者に悪用されていたインフラの阻止に乗り出す2026年6月まで続いていました。
7月7日付のHuntressのブログ投稿で詳述されている通り、このフィッシングの誘い文句は、Facebook Businessアカウントのユーザーに対し、認証バッジを付与することで「ブランドを保護」できると謳っています。Facebookには実際に認証サービスが存在しますが、これは有料サブスクリプションに基づくものであり、手続きはメール経由ではなくFacebookのエコシステム内で開始されるものです。
このフィッシングの誘い文句はまた、ユーザーに対して偽のフィッシングページ上でログインして本人確認を行うよう求めており、MFAトークンの入力も含めて、攻撃者にとってはログイン認証情報を盗み取るための手口となっていました。
乗っ取られたチャットボット
さらに、攻撃者は「AI Strategic Partner」という名称の不正なFacebookアカウントを通じて運用するチャットボットを組み込み、活動を後押ししていました。
このボットとやり取りすると、ユーザーは攻撃者が管理するフィッシングページへ誘導され、アカウントを「認証」するための追加情報の提出を求められる仕組みになっていました。
ここでも被害者にユーザー名とパスワードの入力が求められ、偽のMFAチェックが行われた後、パスポートや運転免許証、国民IDカードによる本人確認を求められました。
この写真をアップロードすることで、攻撃者は詐欺やその他の不正行為に悪用できる大量の個人情報を手に入れることになります。盗んだユーザー名とパスワードを使ってビジネスアカウントを乗っ取れば、詐欺師は不正に金銭を得るためのさまざまな手段を手にすることになります。
「脅威アクターはMetaのビジネスアカウントを悪用し、被害者の資金を悪意ある広告や詐欺広告に費やすことも、アカウントを完全に乗っ取って復旧手段やパスワードを変更し、そのアカウントを使ってビジネスの顧客やソーシャルメディアのフォロワーに対しさらに標的型の攻撃を仕掛けることもできます」と、Huntressのプリンシパル脅威インテリジェンス・インシデント対応責任者であるAndrew Brandt氏は述べています。
Metaはこの活動を阻止するための対策を講じていますが、Facebookアカウント、とりわけビジネスアカウントの性質上、今後もフィッシング攻撃の格好の標的であり続けると見られます。
これらのメッセージには、Facebookのような大企業らしからぬスペルミスや文法上の誤り、書式の乱れが見られました。また、実際の認証手続きはMetaとの有料取引であるにもかかわらず、これらのフィッシングメールはユーザーに無料でサービスを提供すると謳っていました。
「崩れた画像、見慣れないリンク、そして魅力的な機会への招待を告げる予期せぬメールの到着は、いずれも危険信号です。ですから、こうしたメッセージを受け取り、少しでも違和感や予期せぬ印象を覚えたなら、そのメッセージはすぐに削除してください。あなたが思っている以上に、失うものは大きいのです」とBrandt氏は述べています。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-facebook-fake-verification/