- ハッカーはビッシングと組み合わせた適応型フィッシングキットを使い、MFAをリアルタイムで回避
- 被害者はプロファイリングされ、なりすまし通話でだまされ、カスタマイズされたフィッシングサイトへ誘導される
- Oktaは、フィッシング耐性のある2FAとネットワーク制御でこれらの攻撃を遮断するよう呼びかけ
専門家によると、ハッカーは高度で適応性の高いフィッシングキットの使用を開始しており、これがビッシング攻撃をリアルタイムに適応させて補完しているという。
Oktaのセキュリティ研究者は明らかにし、現在、人々のGoogle、Microsoft、Oktaのアカウントに加え、複数の暗号資産プロバイダーを標的にするために使われている複数のカスタムフィッシングキットを「検知し、解析した」と述べた。
攻撃は、脅威アクターが被害者をプロファイリングし、利用しているアプリやITサポートの電話番号について把握するところから始まる。次に、カスタマイズされたフィッシングサイトを展開し、企業やサポートの電話番号を偽装して被害者に電話をかける。
フィッシング耐性のある2FAを使用する
次の段階では、被害者をだましてカスタマイズされたフィッシングサイトにアクセスさせ、ログインを試みさせる。認証情報は即座に攻撃者へ中継され、攻撃者はそのデータを使って正規のサービスにログインする。何らかのMFA(フィッシング耐性のないもの)が提示された場合でも、フィッシングサイトをリアルタイムで更新し、ユーザーに手続きを完了するよう促すことができる。
Oktaは、ツールの品質とそれがもたらす俊敏性により、攻撃手法としてのビッシングがより一般的になったと述べている。
「これらのツールのいずれかの運転席に座れば、音声ベースのソーシャルエンジニアリングの件数が増えているのを私たちが観測している理由がすぐに分かるでしょう」と、Okta Threat Intelligenceの脅威研究者ムーサ・ディアロ氏は述べた。
「これらのキットを使えば、標的ユーザーと電話している攻撃者は、ユーザーが認証情報を盗むフィッシングページとやり取りするのに合わせて、認証フローを制御できます。通話で与えている指示と完全に同期させて、標的がブラウザで見るページを制御できるのです。脅威アクターはこの同期を利用して、フィッシング耐性のないあらゆる形式のMFAを突破できます。」
Oktaは、これらの攻撃に対抗するにはフィッシング耐性のある2FAの導入が必要だと強調した。これには同社製品のいずれか、またはパスキーが含まれ得る。「あるいは冗長性のために、その両方でもよい」。また同社は、ネットワークゾーンやテナントのアクセス制御リストを設定すると、脅威アクターが好んで利用する匿名化サービス経由のアクセスが拒否されるため、彼らは「いら立つ」とも述べた。
