高度なホモグリフ(見た目が似た文字)を用いたフィッシングキャンペーンが、タイポグラフィ上の視覚的トリックを悪用して、Marriott InternationalとMicrosoftの顧客を標的にしています。
攻撃者は、文字「m」を「rn」(r + n)の文字組み合わせに置き換えたドメインを登録し、一見すると正規サイトとほぼ同一に見える偽サイトを作成しています。
この手法は、現代のフォントが文字を描画する仕組みを利用しています。多くの書体では、「r」と「n」を並べた(rn)見た目が文字「m」とほとんど区別できず、サイバー犯罪者はこの弱点を驚くほど効果的に悪用しています。
ユーザーが rnarriottinternational.com のようなURLを素早く目で追うと、脳が視覚情報を「自動補正」し、無意識に「rn」ではなく「m」と読んでしまうことがよくあります。攻撃者が狙うのは、まさにこの認知上の近道です。
Netcraftのセキュリティ研究者は最近、ホスピタリティ大手になりすまそうとする悪意のあるドメインのクラスターを特定しました。
これらのフィッシングサイトは、ロイヤルティアカウントの認証情報を収集し、宿泊客の個人情報を盗み取るよう設計されています。
特定された主要ドメインは rnarriottinternational.com で、Marriottのポートフォリオ内の特定ホテルブランドを狙う rnarriotthotels.com のような追加バリエーションも確認されています。
攻撃者は細部にまで注意を払っており、MarriottのビジュアルブランディングとWebサイト構造を複製して、認証情報が漏えいする可能性を高めています。
ホテルを予約する宿泊客や、ロイヤルティアカウントを管理するユーザーが主な標的です。
セキュリティ企業AnagramのCEOであるHarley Sugarman氏は、ドメイン rnicrosoft.com を通じてMicrosoftユーザーを標的にする並行キャンペーンを指摘しました。
これらのフィッシングメールは正規のMicrosoft連絡を装い、公式ロゴ、言語パターン、レイアウトを用いて、アカウントのセキュリティや請求通知に関する緊急性を煽ります。
この攻撃はモバイル端末で特に危険で、画面サイズが小さく圧縮されるため、「rn」と「m」を見分けることがほぼ不可能になります。
モバイルユーザーは、メールクライアントやブラウザでURLの視認性が低下するため、この攻撃ベクターに対して著しく脆弱です。
セキュリティチームは直ちに以下の悪意あるドメインをブロックし、この脅威についてユーザーを教育すべきです。
組織はこの脅威をセキュリティ意識向上トレーニングに組み込み、メールフィルタリングルールでこれら既知の悪意あるドメインを含むメッセージを検知して隔離できるようにする必要があります。