Robinhoodなりすましキャンペーン、コールバックフィッシングと電話を使ったソーシャルエンジニアリングを悪用

このキャンペーンは偽のアカウントサインインアラートを利用し、受信者に対して攻撃者が管理する電話番号への発信を促すもので、攻撃の手口がメールから電話を使ったソーシャルエンジニアリングへとシフトしています。

脅威アクターは、悪意あるリンクや認証情報を盗み取るためのWebサイトのみに頼るのではなく、被害者を詐欺師と直接電話でやり取りさせようとします。

この手法は一般に「コールバックフィッシング」あるいは「電話を起点とした攻撃(telephone-oriented attack delivery)」と呼ばれ、詐欺行為をより説得力のあるものに見せかけると同時に、従来型のメールセキュリティ対策の一部を回避する助けにもなります。

フィッシングメールは、受信者のRobinhoodアカウントで不審または不正なサインイン試行があったと主張します。そのうえで、アカウントを保護する、あるいは不正アクセスについて異議を申し立てるためとして、記載された電話番号にすぐに連絡するよう強く求めます。

これらのメールは、緊急性を煽るように作られています。取引口座や資金が危険にさらされていると信じ込んだ受信者は、公式のRobinhoodアプリやWebサイトでアラートの真偽を独自に確認する前に、電話をかけてしまう可能性があります。

被害者が記載された番号に電話をかけると、Robinhoodのサポート担当者を装った攻撃者がソーシャルエンジニアリングの手口を使い、機密情報を聞き出そうとします。

詐欺師はログイン認証情報、ワンタイム確認コード、アカウント復旧に関する詳細情報、銀行口座情報、あるいは個人の身元確認情報などを求めてくる場合があります。

コールバックフィッシングが従来型の認証情報フィッシングと異なる点は、悪意ある行為が必ずしも埋め込みURLや添付ファイル経由で発生するわけではないという点です。

メッセージに電話番号しか記載されていないケースもあり、リンクやドメイン、ファイルを主に検査するセキュリティツールでは自動検知が難しくなります。

攻撃者はまた、フリーダイヤル番号が持つ「信頼できそうに見える」という印象も利用します。しかし、フリーダイヤルの番号だからといって、発信者が正規の企業を代表していることが保証されるわけではありません。

脅威アクターは電話番号を素早く取得し、使い回し、そして使い捨てることができるため、電話番号のみに基づくブロック対策の有効性には限界があります。

組織は、確認された電話番号をブロックリストに追加するとともに、メールゲートウェイ、セキュアWebゲートウェイ、エンドポイントのテレメトリ、通話管理プラットフォーム全体における脅威ハンティングの指標として活用すべきです。

また、セキュリティチームは、Robinhoodをテーマにしたメッセージ、緊急のサインイン警告、サポートへの電話を促す文言がないか、メールログを検索すべきです。

ユーザーは、予期しないメールやテキストメッセージ、ポップアップに記載された電話番号には電話をかけないようにすべきです。

その代わりに、公式のRobinhoodアプリを開くか、既知のRobinhood公式サイトのアドレスを手入力する、あるいは公式のアカウント関連書類に記載された確認済みの連絡先情報を利用するべきだと、SpiderLabsは述べています

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無効化表記(defang、例: [.])としています。再有効化(re-fang)は、MISP、VirusTotal、あるいは自社のSIEMといった管理された脅威インテリジェンス基盤上でのみ行ってください。

翻訳元: https://cyberpress.org/robinhood-callback-phishing-campaign/

ソース: cyberpress.org