「Spiderman」と呼ばれる新しいフィッシングキットが、正規サイトをピクセル単位で再現した偽サイトを用いて、欧州の多数の銀行および暗号資産サービスの利用者を標的にしています。
このプラットフォームにより、サイバー犯罪者はログイン認証情報、二要素認証(2FA)コード、クレジットカード情報を盗み取るフィッシングキャンペーンを展開できます。
Varonisの研究者が分析したSpidermanフィッシングキットは、ドイツ銀行(Deutsche Bank)、ING、Comdirect、Blau、O2、CaixaBank、Volksbank、Commerzbankといった大手ブランドを含む、5か国の金融機関を標的としています。
研究者らは、このキットがスウェーデンのKlarnaやPayPalなど、フィンテック企業のオンラインポータル向けのフィッシングページを作成できることを確認しました。また、Ledger、Metamask、Exodusといった暗号資産ウォレットのシードフレーズを盗み出すことも可能です。
出典: Varonis
「Spidermanはモジュール式であるため、新たな銀行やポータル、認証方式を追加できます。欧州各国が新しいネットバンキングのフローを導入するにつれ、このキットも並行して進化していく可能性が高い」と、Varonisはレポートで述べています。
研究者らは、Spidermanがサイバー犯罪者の間で人気を集めており、Signal上のあるグループには750人のメンバーがいることを突き止めました。
ダッシュボードから、オペレーターは被害者のセッションをリアルタイムで閲覧し、認証情報を取得し、ワンクリックでデータをエクスポートし、PhotoTAN/ワンタイムパス(OTP)コードをリアルタイムで傍受し、クレジットカード情報を収集できます。
出典: Varonis
PhotoTANは欧州の多くの銀行で利用されているOTPシステムで、ログイン時や取引承認時にカラーモザイク画像が表示され、ユーザーは銀行のアプリでそれをスキャンして処理を進めます。
アプリはモザイクを復号し、その取引専用のOTPを表示します。ユーザーはそのコードを再び銀行サイトに入力する必要があります。
PhotoTANの取得機能はフィッシングキットにおいて目新しいものではありませんが、欧州の金融機関を標的とするプラットフォームにとっては「必須機能」と見なされています。
Spidermanのオペレーターはコントロールパネルから標的範囲を設定でき、特定の国に限定したり、ISPの許可リストを追加したり、デバイスタイプ(モバイルまたはデスクトップユーザー)でフィルタリングしたり、フィッシング攻撃の対象外となる訪問者向けのリダイレクト先を設定したりできます。
Varonisの研究者らは、Spidermanによって取得されたデータが、銀行口座の乗っ取り、SIMスワップ、クレジットカード詐欺、個人情報盗難につながる恐れがあると警告しています。
すべてのフィッシングキットは、被害者が偽のログインページへ誘導するリンクをクリックすることに依存しているため、最も有効な防御策は、認証情報を入力する前に必ず正規ドメインであることを確認し、正しいURLを表示しているように見えるブラウザ・イン・ザ・ブラウザ型のウィンドウがないか二重にチェックすることです。
自分が行っていない操作に対して、端末にSMSやPhotoTANのプロンプトが届いた場合は、アカウント乗っ取りの試みの兆候であり、直ちに銀行へ報告する必要があります。
