- FBIは、攻撃者がフィッシングの手口で認証情報を盗み、金融アカウントを素早く乗っ取ることができると警告
- ホリデーシーズンをテーマにしたドメインが、ユーザーを機密情報を奪う詐欺に誘導
- モバイルフィッシング攻撃は信頼できる名前を利用してクリックやダウンロードを誘発
FBIは、2025年これまでにアカウント乗っ取りスキームによって米国の標的から2億6200万ドル以上がサイバー犯罪者に盗まれたと報告しており、個人、企業、さまざまな分野の組織が標的となっています。
これらの事件に関連する苦情は5100件以上FBIに寄せられており、通常は犯罪者が金融アカウント、給与システム、または健康貯蓄アカウントへの不正アクセスを行うケースが多いです。
フィッシングメール、不正な電話やSMSなどのソーシャルエンジニアリング手法が一般的に使われ、被害者にログイン情報を明かさせます。一度アクセスされると、攻撃者はパスワードをリセットしアカウントを完全に掌握、資金を自分たちの口座に送金し、しばしば暗号通貨に変換して痕跡を隠します。
AI強化型フィッシングとホリデー詐欺
「サイバー犯罪者は、金融機関の従業員やカスタマーサポート、テクニカルサポート担当者になりすまし、アカウント所有者にログイン認証情報や多要素認証(MFA)コード、ワンタイムパスコード(OTP)を渡すよう仕向けます」とFBIは述べています。
「サイバー犯罪者はその後、認証情報を使って正規の金融機関のウェブサイトにログインし、パスワードリセットを実行、最終的にアカウントを完全に掌握します。」
サイバーセキュリティ企業は、AIを活用した説得力のあるフィッシングキャンペーン、偽サイト、SNS広告の増加を報告しており、Fortinet FortiGuard Labsは最近数ヶ月で750以上の悪意あるホリデーシーズンをテーマにしたドメインを検出。これらのキャンペーンはしばしばブラックフライデーやクリスマスなどのイベントに関連した緊急性を煽るメッセージでユーザーを狙い、認証情報の窃取リスクを高めています。
スキルの低い攻撃者でも、AmazonやTemuなどの有名ブランドを模倣した非常に説得力のある詐欺を展開できるようになっています。
「ペットの名前、通っていた学校、生年月日、家族の情報などを公開することで、詐欺師がパスワードやセキュリティ質問の答えを推測する手がかりを与えてしまう可能性があります」とFBIは警告しています。
モバイルフィッシングも増加しており、攻撃者は信頼できるブランド名を悪用して、ユーザーにリンクをクリックさせたり悪意あるアップデートをダウンロードさせたりしています。
購入詐欺も大きな脅威となっており、偽のECサイトが被害者の決済情報を取得し、実在しない商品の不正取引を承認させています。
脅威アクターは、Adobe、Oracle E-Business Suite、WooCommerce、Magentoなど一般的なプラットフォームの脆弱性も引き続き悪用しています。
一部の攻撃は、トラフィック分配システムを使って最も脆弱なターゲットを特定し、最終的な詐欺サイトにリダイレクトする多段階の仕組みを持っています。
これらの手口は、被害者自身が支払いを承認するため即時の金銭的利益を得ることができ、特定のキャンペーンでは連続して不正取引を試み、カードの価値を最大化しようとします。
サイバー犯罪者は盗んだ決済カードをダークウェブのマーケットで販売し、さらなるアカウント侵害のための資金源としています。
FBIは、こうした攻撃から身を守るために一般向けにいくつかの推奨事項を発表しています:
安全を守る方法
- オンラインで共有する個人情報を制限する
- 金融アカウントの不審な動きを監視する
- すべてのアカウントでユニークかつ複雑なパスワードを使用する
- ウェブサイトにログインする前にURLを確認する
- 金融機関を名乗る不審なメッセージや電話に注意する
- デバイスをマルウェアから守るためにウイルス対策ソフトを導入する
- 不正アクセスを防ぐためファイアウォールを有効にする
- 個人情報を監視するためにID盗難防止サービスを利用する
- 高度なフィッシングキャンペーンやAI駆動型攻撃のリスクを認識する
- 効果はデバイスやネットワーク全体で一貫して実施されるかどうかにかかっている
