- ハッカーが本物のfacebookmail.comドメインを使ってFacebookの警告を偽装し、Business Suiteユーザーをフィッシング
- 4万通以上のメールが送信され、ある企業には4,000通以上—ほとんどがテンプレート化された広範囲な攻撃
- 防御にはMFA、パスワードマネージャー、スタッフ教育、アカウント監視が必要
サイバー犯罪者がFacebook Business Suiteのユーザーを標的に、非常に巧妙なフィッシングメールを送り、ログイン情報やその他の貴重な情報を騙し取ろうとしていると専門家が警告しています。
このソーシャルネットワークのビジネスプラットフォームには適切な本人確認の仕組みがなく、ハッカーがFacebook自身になりすましてユーザーの信頼を悪用できると、Check Point Research(CPR)の専門家が指摘しています。
Facebook Business Suiteは、企業がFacebook、Instagram、Messengerのアカウントを一元管理できるプラットフォームです。主に中小企業(SMB)、ソーシャルメディアマネージャー、マーケターに利用されています。
何ができるのか?
しかし、悪意のある人物が新しいFacebookビジネスページを作成すると、簡単に名前を設定し、公式のFacebookブランドを模倣したロゴをアップロードし、公式のFacebook通知のように見せかけたフィッシングメールを送信できます。
「重要なのは、これらのメッセージが正規のfacebookmail.comドメインから送信されていることです」と研究者は説明します。「多くのユーザーは見慣れない送信者アドレスを警戒するよう訓練されていますが、今回は信頼しているドメインからメールが届くため、フィッシングメッセージがはるかに信じやすくなっています。」
攻撃者が送信する通知は、主にSMBや中堅企業が関心を持ちそうな内容—アカウント認証、Metaパートナープログラム、無料広告クレジットプログラムなど—が中心です。
これまでに攻撃者はCheck Pointの顧客(約5,000団体)に対して4万通以上のフィッシングメールを送信しており、実際の被害規模はさらに大きいと考えられます。
CPRの顧客の多くは300通未満のメールを受信しましたが、ある企業には4,000通以上が殺到しました。ほとんどのメッセージはテンプレート化されており、特定の組織を狙うのではなく、広くばらまいて誰が引っかかるかを狙っています。
被害者の多くは米国、ヨーロッパ、カナダ、オーストラリアに集中しています。
こうした高度なフィッシング攻撃に対抗するためにできることはいくつかあります。
まず、ユーザーは一元管理型のパスワードマネージャーを利用し、すべてのアカウントで多要素認証(MFA)を有効にするべきです。その上で、送信者の正当性を慎重に確認し、従業員やソーシャルメディア担当者に対してプラットフォーム上のソーシャルエンジニアリングのリスクについて教育する必要があります。
最後に、アカウントの不審な活動を監視し、すべてのフィッシングの試みをFacebookに報告しましょう。
GoogleニュースでTechRadarをフォローおよび お気に入りソースに追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックし、WhatsAppでも定期的に最新情報を受け取れます。
