TokyoBlackHatNews

theregister.com 5分で読了

犯罪者はScattered Spider流のヘルプデスク詐欺を「簡単ボタン」で実行

ダークウェブのフォーラムやメッセージングプラットフォームでカスタムの音声フィッシング(ビッシング)キットが販売されているため、犯罪者はソーシャルエンジニアリング詐欺やその他の身元詐称(ID)詐欺をより容易に成功させられるようになっている。

これらのキットは、被害者のGoogle、Microsoft、Oktaアカウントを狙うデジタル侵入者の「増加する数」に向けてサービスとして販売されており、ユーザーの認証情報や多要素認証コードを傍受しようとする悪党に対してリアルタイムの支援も含まれている――木曜日に公開されたOkta Threat Intelligenceのブログによる。

「観測された新しい機能を実装しているキットが少なくとも2つあります」と、Okta Threat IntelligenceのVPであるブレット・ウィンターフォードはThe Registerに語った。 

「これらのフィッシングキットは、組織で利用されているIDプロバイダーやその他のアイデンティティシステムの認証フローを精密に模倣するよう開発されています」と彼は述べた。「キットにより攻撃者は、標的ユーザーが操作している最中のフィッシングページを監視し、標的に表示されるさまざまなカスタムページをトリガーできます。これにより、ユーザーに認証情報を共有させ、多要素認証のチャレンジを承認させるための口実がより説得力のあるものになります。」

ウィンターフォードによれば、この種の悪意ある活動は「2025年後半以降、大きく進化」しており、これらのフィッシングキットの広告の中には、詐欺のために英語を母語とする通話担当者を募集しようとするものもあるという。

「こうした通話担当者は組織のヘルプデスクを装い、サポートチケットの解決や必須の技術アップデートの実施を口実に標的へ接触します」とウィンターフォードは述べた。

昨年、こうしたScattered Spider風ITサポート通話詐欺により、犯罪者は数十社のSalesforceインスタンスへのアクセスを獲得し、大規模なデータ窃取と恐喝を行った。

攻撃の仕組み

攻撃は次のように進行する:

まず攻撃者は標的の偵察を行い、ユーザー名、利用しているアプリ、ITサポート通話用の電話番号などを把握する。これらの詳細は、企業のWebサイト、従業員のLinkedInページ、その他の公開情報源から比較的容易に見つけられる。チャットボットに潜在的な標的の調査を依頼すれば、偵察はさらに簡単になり、しかもずっと速い。

キットにより攻撃者は、標的ユーザーが操作している最中のフィッシングページを監視し、標的に表示されるさまざまなカスタムページをトリガーできる

次に攻撃者はフィッシングキットを使って本物らしいログインサイトを作成し、偽装したサポートホットラインや会社の電話番号から被害者に電話をかけ、会社のヘルプデスクを装って被害者を説得し、フィッシングページへ誘導する。「そこから先の攻撃は、攻撃者の動機とユーザーとのやり取りによってさまざまです」とウィンターフォードは述べた。

すべてが計画通りに進めば、被害者はフィッシングサイトにユーザー名とパスワードを入力し、それが自動的に攻撃者のTelegramチャンネルへ転送され、攻撃者は正規のサインインページに対する有効な認証情報を手に入れる。

ここでリアルタイム支援が効いてくる。被害者がまだ電話中の間に、攻撃者は奪取した認証情報を使って被害者のアカウントへのログインを試み、どのようなMFAチャレンジが使われているかを確認しつつ、フィッシングサイトをリアルタイムで更新する。 

その後、攻撃者は被害者にワンタイムパスワードを入力する、プッシュ通知を承認する、または別の種類の多要素認証(MFA)チャレンジを完了するよう求める。被害者が見ている偽ページがこの要求を裏付けるため、ソーシャルエンジニアリング詐欺はさらに信憑性を増す。

報告書によれば、「たとえばプッシュ通知(MFAチャレンジの一種)が提示された場合、攻撃者は口頭でユーザーにプッシュ通知が届くはずだと伝え、[コマンド&コントロール]パネルからオプションを選択して標的のブラウザを新しいページへ誘導し、プッシュメッセージが送信されたことを示唆するメッセージを表示できます。これにより、通常なら疑わしいはずの、ユーザーが自分で開始していないチャレンジを承認するよう求める要求にもっともらしさが生まれます。」

さらにOktaによれば、これらのキットは、第二の検証手段として番号照合チャレンジを用いるプッシュ通知を攻撃者が回避するのにも役立ち、標的ユーザーに特定の番号を入力するよう言うだけで済むという。

いずれにせよ、ユーザーにとっては万事休すで、攻撃者は侵害されたアカウントを完全に掌握する。

Oktaの調査は、犯罪者がSaaS(ソフトウェア・アズ・ア・サービス)型のビジネスモデルで、ソーシャルエンジニアリングや身元詐称(ID)詐欺のためのツールをパッケージ化して販売する「なりすまし・アズ・ア・サービス」に関するThe Registerの以前の報道とも一致する。

「悪意ある行為者として、ツール、トレーニング、コーチング、台本、エクスプロイト、つまり箱入り一式を入手するためにサブスクし、それを使って侵入作戦を実行できます。そこでは、こうしたソーシャルエンジニアリング攻撃と標的型ランサムウェアが組み合わされることが多く、ほぼ常に金銭的動機があります」と、セキュリティ企業NametagのCEOであるアーロン・ペインターは、以前のインタビューで私たちに語っていた。 ®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/crims_sell_voice_phishing_kits/

ソース: go.theregister.com
#Okta #Scattered Spider #Telegram #ソーシャルエンジニアリング #ダークウェブ #なりすましサービス(Impersonation-as-a-Service) #フィッシングキット #ヘルプデスク詐欺 #多要素認証(MFA)回避 #音声フィッシング

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張