- サイバー犯罪者がArubaを偽装し、CAPTCHAやTelegramボットを使ったステルス性の高い自動化フィッシングフレームワークを利用
- フィッシングページはArubaのWebメールポータルを模倣し、偽のサービス警告で認証情報を盗む
- Arubaの大規模なユーザーベースが、産業規模の認証情報窃盗の格好の標的となった
セキュリティ研究者のGroup-IBは、Arubaユーザーを標的とした新たな詐欺の詳細を公開しました。これは「高度なフィッシングフレームワーク」の一部であることが判明しています。
同チームは、サイバー犯罪者が「完全自動化された多段階プラットフォーム」を構築し、効率性とステルス性を両立させていることを発見しました。これには、セキュリティスキャンを回避するためのCAPTCHAフィルタリング、被害者データの事前入力による信頼性の向上、盗まれた認証情報や支払い情報のTelegramボットによる流出などが含まれます。
このフィッシングキットの目的は「産業規模の認証情報窃盗」を達成することであり、Group-IBは「技術的な参入障壁を大幅に下げ」、スキルの低い攻撃者でも大規模かつ短期間で説得力のあるキャンペーンを展開できるようにしていると述べています。
Arubaを標的に
今回の手口は比較的よくあるもので、攻撃は巧妙に作成されたメールから始まり、ユーザーにサービスの期限切れや支払い失敗を警告します。これらのテーマは、Aruba自身も顧客に対してよく警告する内容ですが、フィッシングメールはより切迫感を煽る点が異なります。
メッセージには「多数存在する」フィッシングページへのリンクが含まれており、これらは公式のAruba.it Webメールログインポータルを「精巧に模倣」しているとGroup-IBは付け加えています。偽装に気づかずログインしようとした被害者は、認証情報を攻撃者にTelegram経由で送信してしまい、攻撃者は後にそれを利用したり、ダークウェブで販売したりします。
Arubaが選ばれた理由は、「イタリアのデジタルインフラに深く組み込まれている」ためであり、現在540万人以上の顧客にサービスを提供しているとGroup-IBは強調しています。
「このような標的は大きな利益をもたらします。1つのアカウントが侵害されるだけで、ホスティングされたウェブサイトからドメイン管理、メール環境に至るまで、重要なビジネス資産が露出する可能性があります」と研究者らは結論付けています。
フィッシング攻撃から身を守る方法はシンプルです ― クリックする前によく考え、ソフトウェアを常に最新の状態に保ち、強力なエンドポイント保護ソリューションを利用しましょう。
GoogleニュースでTechRadarをフォローし、 優先ソースとして追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、動画でのニュース、レビュー、開封動画をチェックしたり、WhatsAppでも定期的に最新情報を受け取ることができます。
