Abnormal AIの調査によると、サイバー犯罪者が現役の法執行機関および政府のメールアカウントへのアクセスを、ダークウェブ上でわずか40ドルから販売していることが明らかになりました。
これらの侵害されたアカウントは、米国、英国、インド、ブラジル、ドイツの当局者に属しており、FBIなどの機関も影響を受けています。
法執行機関や政府職員になりすまして彼ら自身のメールを利用できることは、攻撃者にとって高度な詐欺やデータ窃取スキームを実行する機会を提供します。こうしたスキームには、偽の召喚状の送信や、緊急データ要求を通じた機密情報へのアクセスなどが含まれます。
.govや.policeなどのドメインから送信されたメールは、技術的な防御を回避しやすく、受信者に疑念を抱かせにくい傾向があります。その結果、悪意のある添付ファイルやリンクがクリックされる割合が高くなります。
Abnormal AIの研究者は、法執行機関のアカウントは何年も前からダークウェブで密かに売買されてきたが、最近になって戦略に顕著な変化が見られると指摘しています。
「サイバー犯罪者はもはや単にアクセスを転売するだけでなく、偽の召喚状の提出や、ソーシャルプラットフォームやクラウドプロバイダーの認証手続きを回避するなど、特定のユースケースを積極的に売り込んでいます。このような制度的信頼のコモディティ化により、これらのアカウントの魅力が広がり、なりすまし攻撃への参入障壁が下がっています」と彼らは述べています。
「休眠中や偽装されたアカウントとは異なり、これらは攻撃者によって即座に悪用可能な、アクティブで信頼された受信箱です」と研究者は付け加えています。
顧客は低価格ですぐに利用可能
8月14日に公開されたAbnormal AIのレポートによると、侵害された法執行機関および政府のアカウントは、通常TelegramやSignalなどの暗号化メッセージングプラットフォームを通じて販売されています。
こうしたメールアカウントがもたらす独自の犯罪機会を考えると、1アカウントあたりわずか40ドルからという比較的低価格で提供されていることが多いです。
購入者は通常、暗号通貨で支払いを行うと、これらのアカウントの完全なSMTP/POP3/IMAP認証情報を受け取ります。
これにより、攻撃者は任意のメールクライアントを通じて受信箱を完全にコントロールでき、即座にメール送信や政府専用サービスの利用を開始できます。
多くのダークウェブ広告は、購入者に対し、侵害されたアカウントを利用して緊急データ要求を提出するよう促し、「成功した要求ではIPアドレス、メールアドレス、電話番号などのデータが得られる」と謳っています。
本物の緊急データ要求は、法執行機関が緊急時に召喚状を取得する時間がない場合、企業に即時情報提供を求めるために使用されます。こうした要求は、技術企業や通信事業者に対して発行されることが多く、正当な法執行機関からの要請には法的に対応する義務があります。
研究者はまた、犯罪マーケットプレイスがTikTokやXなどのプラットフォーム上で、公式の法執行機関ポータルへのアクセスを宣伝し、追加のデータ取得要求を行っていることも観察しました。
一部の販売者は、盗まれた認証情報を利用して、プレミアムなオープンソースインテリジェンス(OSINT)サービスへのアクセス強化を図ることを宣伝しています。ShodanやIntelligence Xなどのプラットフォームは、通常、政府認証ユーザーに対して強化された機能を提供しています。
攻撃者はどのように政府のメールアカウントを侵害するのか
研究者は、脅威アクターがダークウェブで販売する前に法執行機関や政府のアカウントを侵害するために用いる、シンプルながら効果的なさまざまな手法を強調しました。
- クレデンシャルスタッフィングやパスワードの使い回しの悪用
- インフォスティーラーマルウェアによる、感染したブラウザやメールクライアントからの保存済みログイン情報の収集
- 標的型フィッシングやソーシャルエンジニアリング攻撃
翻訳元: https://www.infosecurity-magazine.com/news/law-enforcement-government-emails/