スパイダーマンと名付けられた新たなフィッシングキットがダークウェブ上で出回っており、欧州の大手銀行や金融サービス利用者をだますことがこれまでになく容易になっている。これは完全なフルスタック型のフィッシングキットで、技術的スキルのない人物でも複数の国にまたがる大規模な攻撃を仕掛けられるようにするものだ。
オンライン脅威分析とデータセキュリティ企業のVaronisが最初にこの脅威を報告し、この既製プログラムがコードの知識を不要にしている仕組みを詳述した。攻撃者は、欧州の多数の金融機関や暗号通貨プラットフォームのログインページを素早く模倣できる。5カ国にまたがる大規模なスケールとリーチを持つことから、研究者らは今年分析した中で「最も危険な」ツールの一つだと評している。
容易な攻撃と広範な標的
Hackread.comと共有されたVaronisの調査によると、スパイダーマンキットは非常に効率的であり、単一の銀行や地域に焦点を当てるのではなく、複数の金融ブランドを一つのプラットフォームに統合し、大規模な標的化を可能にしている。
ドイツ銀行(Deutsche Bank)、コメルツ銀行(Commerzbank)、ING(ドイツおよびベルギー)、カイシャバンク(CaixaBank)などの銀行に加え、暗号資産ウォレット提供企業も主要な標的となっている。このキットの背後にいる販売者コミュニティは、関連するメッセージンググループに約750人のメンバーがいるほど規模が大きく、すでに広範に利用されていることがうかがえる。
研究者らがブログ記事で指摘しているように、攻撃プロセスは単純で、「銀行を選び、ピクセル単位で同一のクローンを起動し、すぐに使える誘導メッセージを送る」だけでよく、そのメッセージは本物の金融機関からの通知と見分けがつかない。さらに、このキットには暗号資産のシードフレーズを盗むモジュールも含まれており、ハイブリッド型詐欺オペレーションへの移行を示している。
国境を越える金融脅威
このキットの最も危険な特徴は、リアルタイムで情報を盗み出せる点だ。被害者がログイン情報を入力すると、運用者は即座にそのデータを受け取り、クレジットカード番号やワンタイムセキュリティコード(OTPやPhotoTANコードなど)といった、より重要な情報を収集するための追加画面を表示させることができる。
一度のセッションで、被害者の氏名、生年月日、クレジットカード情報など、完全な本人特定情報を取得できる可能性がある点は注目に値する。これは、口座の完全な乗っ取りやなりすまし犯罪を行うのに十分な情報量だ。
さらに、このシステムは特定の国からの訪問者のみを許可するフィルター(ジオブロッキング)を用い、既知のセキュリティ企業ネットワークからのアクセスを除外することで、セキュリティ専門家に発見されにくい設計になっている。これにより、自動スキャナーから身を隠すことができる。
研究者らは「リアルタイムのOTP傍受は標準的な手口になるだろう」と予測しており、ワンタイムコードに依存する銀行は特に脆弱だとしている。スパイダーマンのような、使いやすい攻撃ツールの急速な進化は、ヨーロッパ全域のデジタル金融セキュリティに対し、深刻かつ差し迫った課題を突きつけている。
翻訳元: https://hackread.com/spiderman-phishing-kit-european-banks-credential-theft/
