過去6か月間、ハッカーはユーザーをだましてFacebookアカウントの認証情報を提供させるために、ブラウザ内ブラウザ(BitB)手法への依存をますます強めています。
BitBのフィッシング手法は、セキュリティ研究者のmr.d0xが2022年に開発しました。サイバー犯罪者はその後、各種オンラインサービスを標的とする攻撃にこれを採用し、Facebook や Steamも含まれています。
悪意ある活動を監視しているTrellixの研究者によると、脅威アクターは詐欺の拡散、個人データの収集、またはなりすまし詐欺を行うためにFacebookアカウントを盗みます。アクティブユーザーが30億人を超えるこのソーシャルネットワークは、依然として詐欺師にとって格好の標的です。
BitB攻撃では、攻撃者が管理するウェブページを訪れたユーザーに、ログインフォームを含む偽のブラウザポップアップが表示されます。
このポップアップは、正規プラットフォームの認証インターフェースを模倣するiframeを用いて実装され、ウィンドウタイトルやURLをカスタマイズできるため、欺瞞を見抜くのがより困難になります。
Trellixによれば、Facebookユーザーを狙う最近のフィッシングキャンペーンは、著作権侵害を主張する法律事務所になりすましたり、アカウントの差し迫った停止を脅したり、未承認ログインに関するMetaのセキュリティ通知を装ったりしています。
出典: Trellix
検知を回避し、正当性の印象を高めるために、サイバー犯罪者は短縮URLや偽のMeta CAPTCHAページを追加しました。
攻撃の最終段階では、被害者は偽のポップアップウィンドウにFacebookの認証情報を入力してログインするよう促されます。
出典: Trellix
並行してTrellixは、NetlifyやVercelのような正規のクラウドプラットフォーム上にホストされた多数のフィッシングページを発見しました。これらはMetaのプライバシーセンターポータルを模倣し、ユーザーを異議申し立てフォームに偽装したページへリダイレクトして個人情報を収集していました。
出典: Trellix
これらのキャンペーンは、セキュリティ研究者が通常観測する標準的なFacebookフィッシングキャンペーンと比べて、著しい進化を示しています。
「重要な変化は、信頼されたインフラの悪用にあります。NetlifyやVercelのような正規のクラウドホスティングサービスやURL短縮サービスを利用して、従来のセキュリティフィルターを回避し、フィッシングページに偽の安心感を与えているのです」と、Trellixのレポートには記されています。
「そして最も重大なのは、ブラウザ内ブラウザ(BitB)手法の出現が大きなエスカレーションを意味する点です。被害者のブラウザ内にカスタム構築の偽ログイン・ポップアップウィンドウを作成することで、この手法は認証フローに対するユーザーの慣れにつけ込み、認証情報の窃取を視覚的に見抜くことをほぼ不可能にします。」
BitMから身を守る方法
ユーザーがアカウント関連のセキュリティアラートや侵害通知を受け取った場合、メール本文に埋め込まれたリンクやボタンをたどるのではなく、別タブで公式URLに必ずアクセスするべきです。
ログインのポップアップで認証情報の入力を求められた場合、そのウィンドウをブラウザウィンドウの外へ移動できるか確認してください。BitBのトリックに不可欠なiframeは、下層のウィンドウに結び付いており、外へ引き出すことはできません。
オンラインアカウントへのアクセスを保護するための一般的な推奨事項は、二要素認証の保護機能を有効にすることです。万全ではないものの、認証情報が漏えいしていたとしても、アカウント乗っ取りの試みに対して追加の防御層を提供します。
