サイバー犯罪者はFacebookユーザーのログイン認証情報を盗むため、ブラウザ・イン・ザ・ブラウザ(BitB)攻撃という巧妙な技術をますます頻繁に使用しています。
Trellixのサイバーセキュリティ研究者による分析によると、ユーザーに信頼できそうに見える認証画面へ誘導し、ユーザー名とパスワードを収集することを目的としたフィッシングメールを配布する攻撃者が増加しています。
これらの攻撃の目的は、アカウントを乗っ取って個人データを盗み、身元詐欺を行ったり、ユーザーの連絡先にスキャムを広げたりすることだと考えられています。30億人を超えるユーザーを持つFacebookは、サイバー犯罪者にとって攻撃とスキャムを実行するための魅力的なターゲットであり続けています。
これらのキャンペーンは通常、フィッシングメールから始まります。研究者は、攻撃者が著作権侵害の請求を避けるために緊急の対応を取る必要があることを警告する法律事務所からのメッセージであると称する誘いを一般的に配布していることに気づきました。
攻撃者が配布することが知られている他の誘いは、不正なログイン試行に関する偽の通知、または疑わしい活動のためアカウントがシャットダウンされようとしているという警告を発行しています。
これらのそれぞれは、ユーザーをパニックに陥れ、アカウントが閉鎖されるのを防ぐために必要であると指示されたアクションを取らせるように設計されています。
フィッシングメールは、ユーザーが必要なアクションを取るためにFacebookのリンクのように見えるものをクリックするよう促しますが、これらは実際には合法的に見えるように操作された偽のショートコードURLです。
これらの攻撃が説得力を持つように見える理由は、ブラウザ・イン・ザ・ブラウザのポップアップウィンドウが合法的に見え、ユーザーがFacebookのログインページがどのように表示されることを期待するのかとまったく同じであるということです。
ポップアップブラウザには実際のFacebookログインページのURLが含まれており、これは攻撃者が認証ウィンドウにハードコードしたものです。一方、攻撃者はこれの前に偽のCAPTCHAウィンドウも展開しています。両方の戦術は、被害者が実際のFacebookログインページにアクセスしていると信じさせるために設計されています。
これらの「確認」ページは、ユーザーに名前、メールアドレス、電話番号、生年月日などの個人情報を尋ね、その後、2番目のページでパスワードを「確認」するよう求めます。
これらの偽のページを通じて、攻撃者は機密性の高い個人情報、ユーザー名、およびパスワードにアクセスし、被害者の費用でさらなる詐欺を行うために使用できます。
「被害者のブラウザ内にカスタム構築された偽のログインポップアップウィンドウを作成することで、この方法はユーザーが認証フローに慣れていることを活用し、認証情報の盗難をほぼ視覚的に検出不可能にします」とTrellixは述べました。
このようなフィッシング攻撃に対抗するため、ユーザーはアカウントに二要素認証(2FA)を適用することが推奨されています。これにより、サイバー犯罪者が合法的なログイン認証情報を盗んだ場合でも、アカウント乗っ取りを自動的にブロックできます。
また、ユーザーがこのような唐突で予期しないリクエストをするメールを疑わしいものとして扱うことが推奨されています。アカウントに関する通知について心配している場合は、なじみのないリンクをたどるのではなく、ブラウザからFacebookを経由して直接ログインすることが推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-scams-exploit-browser/
