新たなEgressのレポートによると、メールフィッシング攻撃は2024年第2四半期に第1四半期比で28%増加し、攻撃者は防御を突破する効果的な手法を展開している。
攻撃者が用いた一般的な戦術の一つは、見慣れたアカウントからフィッシングメールを送信し、認証プロトコルを回避することだった。
2024年4月から6月の期間では、攻撃の44%が内部で侵害されたアカウントから送信され、8%は組織のサプライチェーン内のアカウントに起因していた。
説明会でEgressの脅威インテリジェンス担当SVPであるジャック・チャップマンは、攻撃者が自らのドメインを設定してメールを送るという戦術は、ほぼ姿を消したと説明した。
セキュリティツールを回避する別の増加傾向にある手法は、ペイロードとしてQRコードを使用することで、フィッシングメールの12%を占めた。
第2四半期に分析されたすべてのフィッシングメールで最も一般的だったペイロードはハイパーリンクで、45%のケースで確認された。次いで添付ファイルが23%のケースで見られた。
これらのペイロードの目的は概ね認証情報の窃取だとチャップマンは述べた。こうした認証情報は後続攻撃を可能にし、サイバー犯罪者の間で「一般的に取引される資産」でもある。
大半のフィッシングメールはなりすましを伴う
レポートによれば、2024年1月1日から8月31日に送信されたフィッシングメールの89%は、ブランド、部門、個人のいずれかのなりすましを伴っていた。
これらのメールの4分の1超(26%)は、受信者と無関係なブランドになりすましていた。その内訳として、9.7%はZoomなどの電話/ビデオ会議プロバイダーになりすまし、5.3%はUPSやDPDなどの配送サービスになりすましていた。
別の人気のなりすまし手法は、標的が勤務する企業を装うもので、全フィッシングメールの16%を占めた。
最もなりすましの対象となった部門は人事(HR)、IT、財務で、これらの領域の担当者はシステム利用や支払いに関する特定の行動を従業員に求めることが多いためだ。
攻撃者は、従業員の職位レベルに応じて攻撃を調整することにも長けてきている。例えば、在籍2〜7週間の新入社員は、「VIP」(通常はCEOなど組織内の上級幹部)になりすましたフィッシングメールにおいて最も狙われた層だった。
チャップマンは、新入社員は一般に期待に応え役に立ちたいという意欲が強く、この戦術に対してより脆弱になりやすいと指摘した。
また、攻撃者はLinkedInのボットを用いて組織の新入社員を特定することが多いとも付け加えた。
コモディティ攻撃が増加
Egressは、コモディティ型フィッシング攻撃の利用拡大を確認した。これは、膨大な量で従業員とサイバーセキュリティ管理者を圧倒することを狙った、大量生産のキャンペーンである。
コモディティキャンペーンの期間中、標的組織では通常のベースラインと比べてフィッシング攻撃が2700%増加する。
こうしたキャンペーンの割合は変動している。Egressは、コモディティ攻撃の人気が2023年12月にピークに達し、全フィッシングメールの13.6%を占めたことを観測した。同社は、サイバー犯罪者が年末の祝祭シーズンに増える正規の広告やブランドメールに便乗することで、2024年12月にも同様の急増が起きると予測している。
コモディティ攻撃の約4分の3(72.3%)はペイロードとしてハイパーリンクを使用し、次いでQRコードが14%だった。
チャップマンは、コモディティキャンペーン中に送られるフィッシングメールの多くは検知が容易だが、より高度なフィッシングの試みを成功させるための「ホワイトノイズ」として機能すると説明した。
「本当の攻撃を成立させるために、意図的に出来の悪いものにしているのです」とチャップマンは述べた。
マルチチャネル攻撃の出現
Egressのレポートで強調された別の傾向は、複数のチャネルにまたがって段階的に実行される攻撃である。このアプローチは通常、特定の標的に対して高度かつ持続的なキャンペーンを実行できる能力を持つ高度持続的脅威(APT)グループによって用いられる。
チャップマンは、これらのキャンペーンはメールが開始点であり終点であることが多い一方で、その途中にはMS TeamsやWhatsAppのようなプラットフォームを利用する多数の段階が存在すると述べた。
このマルチチャネル戦術は新たなベクターであり、攻撃者はその中でアプローチを急速に進化させている。主な狙いは、業務用・個人用の双方を含む異なるプラットフォームやデバイス間で、標的とのコミュニケーションを移動させることだ。
「犯罪者の観点からすれば、デバイスをまたいで移動するのは理にかなっています。監査証跡が途切れるので、成功した場合の緩和がより難しくなるのです」とチャップマンは指摘した。
「もう一つの重要な要素は心理面です。人々はメール上のリンクをクリックすることには非常に注意するよう教えられてきましたが、TeamsやWhatsApp上のリンクをクリックすることについては訓練されていないことが多いのです」と彼は付け加えた。
Phishing-as-a-ServiceツールキットがAI搭載の機能を提供
Egressは、ダークウェブで入手可能なphishing-as-a-serviceツールキットを分析した。これにより、熟練度の低い脅威アクターでも、従来なら自身の能力では実行できなかったより高度な攻撃を仕掛けられるようになる。
分析したツールキットのうち、74.8%がAIに言及し、82%がフィッシング攻撃を支援するディープフェイクに触れていた。
ダークウェブのマーケットプレイスサイトと、それを利用する販売者は、攻撃の品質や自らの評判について日常的に保証を提供している。これには、Microsoftのネイティブ防御や主要なセキュアメールゲートウェイ(SEG)プロバイダーに対する到達性の保証が含まれる。
さらに、これらのプロバイダーの大半は、通常Gpg4win、Telegram、Signal、WhatsAppを通じて、顧客に24時間365日のサポートを提供していた。
翻訳元: https://www.infosecurity-magazine.com/news/email-phishing-surge-bypass/
