攻撃者はあなたのユーザー名とパスワードを盗むための新たな手口を使っています。それは、本物そっくりのサインインウィンドウに見える偽のブラウザポップアップです。この「Browser-in-the-Browser(BitB)」攻撃はほとんど誰でも騙されてしまう可能性がありますが、パスワードマネージャーといくつかの簡単な習慣で安全を保つことができます。
フィッシング攻撃は進化し続けており、今日の攻撃者の武器の中でも特に巧妙な手口のひとつがBrowser-in-the-Browser(BitB)攻撃です。本質的には、BitBはソーシャルエンジニアリングの手法であり、ユーザーに本物のブラウザのポップアップログインウィンドウだと信じ込ませますが、実際にはウェブページ上に巧妙に作られた偽物です。
研究者たちは最近、「Sneaky 2FA」と呼ばれるPhishing-as-a-Service(PhaaS)キットが犯罪マーケットで提供されていることを発見しました。顧客はライセンス付きで難読化されたソースコードを受け取り、好きなように展開できます。
攻撃者はこのキットを使い、HTMLとCSSで偽のブラウザウィンドウを作成します。これは非常に巧妙で、正規のウェブサイトのURLが表示されたアドレスバーまで完璧に再現されています。ユーザーの視点からは、ウィンドウのデザインもウェブサイトのアドレスもログインフォームもすべて普通に見えます。しかし、それはあなたが入力を始めた瞬間にユーザー名とパスワードを盗むために綿密に作られた錯覚です。
通常、私たちはアドレスバーのURLが期待通りかどうかを確認するように伝えますが、この場合は役に立ちません。偽のURLバーは人間の目を騙せますが、優れたパスワードマネージャーは騙せません。パスワードマネージャーは本物のブラウザのログインフォームだけを認識し、ブラウザウィンドウを装ったHTMLの偽物には対応しません。だからこそ、パスワードマネージャーを常に使うことが重要です。強力でユニークなパスワードを推奨するだけでなく、不審なフォームには自動入力を拒否することで不一致を見抜く助けにもなります。
Sneaky 2FAは検知や解析を避けるために様々なトリックを使います。例えば、セキュリティツールがフィッシングページにアクセスするのを防ぐために、不要な訪問者は無害なサイトにリダイレクトし、BitBページは価値の高いターゲットにだけ表示します。ターゲットに対しては、ポップアップウィンドウが各訪問者のOSやブラウザに合わせて適応します。
キャンペーンで使われるドメインも短命です。攻撃者は「使い捨てて交換」することでブロックリストを回避します。そのため、ドメイン名でこれらのキャンペーンをブロックするのは困難です。
では、私たちにできることは?
フィッシング対策の競争においては、パスワードマネージャーと多要素認証(MFA)を組み合わせることが最良の防御策です。
いつものように、あなた自身が最初の防衛線です。信頼できる相手から送られたことを確認しない限り、いかなる種類の未承諾メッセージ内のリンクもクリックしないでください。何を期待し、何に注意すべきかを知るためにも、常に情報を得ておくことが大切です。
そして覚えておいてください:画面に表示されているものを信じるだけではいけません。多層的なセキュリティが、攻撃者の侵入を未然に防ぎます。
BitB攻撃へのもう一つの効果的な防御策は、Malwarebytesの無料ブラウザ拡張機能Browser Guardです。これはヒューリスティックにこれらの攻撃を検出・ブロックします。
