サイバー攻撃におけるブランドなりすましは新たな高度化の段階に達していると、Abnormal Securityによる最近の 調査記事が指摘しています。
従来は金融機関やソーシャルメディアサイトで見られていた手口ですが、脅威アクターは現在、高度にパーソナライズされた多段階攻撃を用いるようになっています。
AbnormalのCISOであるマイク・ブリットンが公開した調査では、攻撃者が人気ストリーミングサービスのDisney+になりすまし、巧妙なスキームを展開した事例が明らかになりました。
細部にまで注意を払った攻撃
サイバー犯罪者は、新規Disney+サブスクリプションの請求が保留中であるという自動生成の通知メールから攻撃を開始しました。各メールには受信者の名前を付けたPDFが添付されており、手作業を要する、めったに見られない手口でした。PDFには、通常のサブスクリプション料金を上回る49.99ドルという水増し請求額が記載され、もっともらしいカスタマーサポートの電話番号も併記されていました。
注目すべき点として、攻撃者は正規のDisney+アドレスに似せた送信元メールを使用し、ブランドカラーを取り入れ、件名や挨拶文を個別にカスタマイズするなど、典型的な手口を超えていました。メールには、スペルミスやマルウェア入り添付ファイルといった露骨なフィッシングの兆候がなく、従来型のセキュリティソリューションにとっても個人にとっても検知が難しいものとなっていました。
「この攻撃を際立たせているのは、犯行者が用いたパーソナライズの度合いと細部への注意であり、従来のセキュリティソリューションはもちろん、警戒心の強い個人でさえ悪意あるものだと見抜くのが難しい」と、ブリットンは記しています。
「9月下旬の初期調査に基づけば、脅威アクターはこのDisney+なりすまし攻撃で、22の異なる組織に属する44人を標的にした。」
Abnormalのアドバイザリでは攻撃の技術的詳細は明確に示されていないものの、主な攻撃ベクトルは、メールのスプーフィング/フィッシング、添付ファイルを用いた手口、電話によるソーシャルエンジニアリング、そしてブランドなりすましの組み合わせであると見られます。
この調査は、明確な侵害指標(IOC)が存在せず、ドメインの評判に関する過去データへの依存があるため、Secure Email Gateways(SEG)がこの種の攻撃を検知・遮断するのが難しいことを強調しました。一方で従業員は、信頼されたブランドの説得力あるなりすましと切迫感によって、判断が難しくなります。
こうした攻撃に対抗するため、調査記事では、機械学習、行動AI、コンテンツ分析を用いるAIネイティブなメールセキュリティソリューションを推奨しています。
画像クレジット:AFM Visuals / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/disney-cyber-scheme-new-tactics/
