悪質なフィッシングキャンペーン、Metaのビジネス機能を悪用して詐欺メールを送信 — 本物のMetaから送られてくるからこそ厄介


  • Huntressが、Metaのビジネスアカウント向けメールインフラを悪用し、Meta Agency Partner Programになりすますフィッシングキャンペーンを発見
  • 被害者は認証情報の入力を騙し取られ、攻撃者はそれをTelegramに送信してアカウント乗っ取りや詐欺広告、標的型フィッシングに利用
  • Metaはすでに対策を追加し、このキャンペーンを封じ込め済み。Huntressは組織が関連活動を検知できるよう侵害指標(IoC)を公開

ハッカーたちは、Metaが提供する正規のサービスの一つを悪用し、さらに別の正規サービスになりすますことで、企業のビジネスアカウントのログイン情報を盗み出そうとしています。

Facebook、Instagram、WhatsAppなどを運営するMetaは、企業がビジネス用のアカウントを作成し、互いにやり取りできる仕組みを提供しています。あるアカウントから別のアカウントへ送られるメールはMetaのインフラを経由するため、送信元がMeta自身であるかのように表示されます。

しかし最近まで、ハッカーはこの仕組みを悪用し、被害者の受信箱に直接届くフィッシングメールを送りつけていたと、セキュリティ研究者のHuntressが説明しています。Metaはメール送信者がMetaの一部でも提携先でもない旨の免責事項をハードコードすることでこれを抑え込もうとしましたが、犯罪者たちはこれについても創意工夫を凝らして回避策を見つけていました。

金銭の浪費

このフィッシングメールは、被害者をMetaのエコシステム外にあるランディングページへ誘導します。これらのページは、ソーシャルメディア運用の専門家と企業をマッチングする正規のプログラムであるMeta Agency Partner Programを模倣するよう作り込まれていました。

この仕掛けを見破れなかった人々は、自分のアカウントにログインしようとする過程で、結果的に攻撃者にログイン情報をそのまま渡してしまうことになります。盗まれた情報は攻撃者が管理するTelegramアカウントへ送信され、その後フィッシングからマルバタイジング(不正広告)まで、さまざまな目的に転用される可能性があります。

「脅威アクターはMetaのビジネスアカウントを悪用し、被害者の資金を悪意ある広告や詐欺広告に費やすことができます。あるいはアカウントを完全に乗っ取り、復旧手段やパスワードを変更した上で、そのアカウントを使って企業の顧客やソーシャルメディアのフォロワーに対してより標的を絞った攻撃を仕掛けることも可能です」と研究者らは説明しています。

ここ数か月の間に、このキャンペーンは手口や誘導方法を変えながら進化を続けてきましたが、最終的な目的は一貫して同じでした。しかしMetaは追加の防御策を導入したことで、このキャンペーンの実行を事実上不可能にし、封じ込めに成功しています。

翻訳元: https://www.techradar.com/pro/security/devious-phishing-campaign-hijacks-a-genuine-meta-business-feature-to-send-scam-emails-as-they-really-do-come-from-metas-own-address

ソース: techradar.com