Check Point Research(CPR)の研究者によると、デジタル文書プラットフォームを装ったフィッシングキャンペーンが、わずか2週間で6,000以上の組織に到達した。
このフィッシングキャンペーンでは、SharePoint や DocuSign などのサービスからの正規の通知メールに見せかけたメールが使われ、受信者をだましてリンクをクリックさせ、認証情報窃取ページへ誘導していた。
ファイル共有や電子署名ツールは、銀行、保険、不動産、コンサルティングなどの業界における日常業務の一部となっている。信頼されたプラットフォームの文体やトーンを真似ることで、フィッシングメールは日常的で本物らしく見えた。件名、書式、さらにはロゴに至るまで、ユーザーが正規のアラートから想像するものと一致していた。
Check Point の研究者たちは、米国、欧州、カナダ、アジア、オーストラリア、中東にわたって4万通以上のフィッシングメッセージを追跡した。標的の多くはコンサルティング、テクノロジー、不動産業界だったが、キャンペーンは医療、エネルギー、教育、政府機関にも及んでいた。これらの業界は文書のやり取りに大きく依存しており、エサが特にもっともらしく見える状況だった。
この攻撃で使われた重要な戦術のひとつが、リダイレクト・クローク(リダイレクトの秘匿化)である。フィッシングリンクは、ユーザーを有害なウェブサイトから保護する目的でよく利用される Mimecast のURL書き換えサービスを経由するように設定されていた。
このケースでは、攻撃者はこの仕組みを悪用して、自らのリンクを信頼できるものに見せかけた。Mimecast はよく知られたサイバーセキュリティプラットフォームであるため、書き換えられたリンクは、メールフィルターや受信者のどちらにとっても警戒心を呼び起こしにくかった。
別のバリエーションでは、攻撃者は Mimecast の代わりに Bitdefender と Intercom のインフラを利用してリンクをラップし、実際の遷移先をより巧妙に隠しながら、DocuSign の通知を装った。この2つの手口に共通していた目的は、ユーザーをページへ誘導し、ログイン情報や機密情報を本人に気づかれないまま入力させることだった。
フィッシングメールのビジュアルデザインは、多くの人をだますのに十分な精度だった。メッセージの中には、「X via SharePoint (Online)」や「eSignDoc via Y」といった偽の表示名から送信されたものもあれば、「SharePoint」といった汎用的な名前を使うものもあった。埋め込みボタンやヘッダーは実在のサービスを忠実に模倣していた。送信者は、忙しい従業員なら深く考える前にクリックしてしまうだろうという心理に付け込んでいた。
Mimecast は以前に対応しており、今回の最新キャンペーンについても、自社システムの技術的な脆弱性が悪用されたわけではないと明言している。攻撃者はURLをマスクするためにリダイレクト機能を利用したが、セキュリティメカニズムを侵害したわけではなかった。
Mimecast は、自社システムがメール配信時とクリック時の両方で悪意あるリンクをスキャンし、ブロックしていることを強調した。同社はまた、自社プラットフォーム上で公開している、同様のフィッシング手口に関するより包括的な分析にも言及している。
翻訳元: https://hackread.com/scammers-e-signature-phishing-emails/
