Oktaの脅威インテリジェンスは、Google、Microsoft、Okta、および暗号資産プロバイダーに対するビッシング(音声フィッシング)キャンペーン向けに特別に調整された、サービスとして販売される複数のカスタムフィッシングキットを発見しました。
これらの高度なツールにより、「コーラー」と呼ばれる音声ベースのソーシャルエンジニアが、通話中に被害者のブラウザをリアルタイムで操作できるようになります。
フィッシングページを口頭の台本と正確に同期させることで、攻撃者は認証情報を盗み、多要素認証(MFA)を回避するようユーザーをだまします。
脅威研究者のMoussa Diallo氏は、その有効性を次のように強調しています。「これらのキットは攻撃者に認証フロー全体を制御させ、完璧な同期によってフィッシング耐性のないMFAを突破します。」
基本的なフィッシング系統から進化したこれらのキットには、動的なページ制御のためのクライアント側JavaScriptが搭載されています。攻撃者はまず偵察から始め、ユーザー名、よく使われるアプリ、ITサポート番号、電話のパターンを把握します。
その後、正規のサポート回線を装って標的に電話をかけ、ITやセキュリティを口実に、カスタマイズされたフィッシングサイトへ誘導します。
ユーザー名とパスワードは攻撃者が管理するTelegramチャンネルへ自動転送されます。攻撃者は実際のサービスにログインし、プッシュ通知やOTPなどのMFAプロンプトを確認したうえで、偽サイトを即座に更新して一致させます。
この一連の演出によりもっともらしさが増します。攻撃者は口頭で「プッシュが届くはずです」と合図し、その後に偽の確認ページを表示させます。
コーラーが回答を指示するため、番号照合を伴うプッシュMFAも回避されます。キットはGoogle Workspace、Microsoft Entra ID、Okta、暗号資産のログインに対応し、その場で適応します。
Diallo氏は、ビッシングの専門知識や特注パネルがサービスとして販売され、普及が加速している新興市場について警鐘を鳴らしています。
C2パネルには、「Show Push Sent」や「OTP Field」のようにフロー制御のためのボタンが用意されています。観測されたキットは、エラー状態を含めてUIを完璧に模倣します。
Diallo氏はエスカレーションを予測しています。「ビッシングの専門知識がいまやサービス化され、機能のコピーも急速です。」キットはプロバイダーごとのパネルへ移行しています。
過去の注意喚起(2025年4月、2026年1月)では、Oktaの顧客に完全なインテリジェンスが提供されています。企業はMFAを監査し、求めていないブラウザ操作の指示といったビッシングの兆候について訓練してください。
翻訳元: https://cyberpress.org/phishing-kit-targets-google-okta/