AppleやPayPalのような信頼できる企業からの正規メッセージを武器化し、メールセキュリティを回避する高度な手口。
これらの攻撃はDKIMリプレイ攻撃として知られ、メール認証システムを悪用して、完全に本物に見える詐欺を届けます。
この手法は驚くほど単純です。攻撃者はAppleのApp StoreやPayPalのようなプラットフォームでアカウントを作成し、設定時にユーザーが入力できるフィールドを操作します。
Appleのサブスクリプションに登録する際、アカウント名フィールドに「解約するには +1 (803) 745-3821 に電話」などの詐欺指示を挿入します。同様にPayPalでも、請求書や異議申し立てを作成する際に「販売者名」に悪意ある内容を追加します。
これらのプラットフォームは、攻撃者が挿入したテキストを含む確認メールを自動生成し、DKIM(DomainKeys Identified Mail)で暗号学的に署名します。
INKYは、PayPal、Apple、DocuSign、HelloSignなどの著名ベンダーからの正規の請求書や異議申し立て通知において、正規の請求書内での攻撃を検知しています。
攻撃者はこの正規メールを自分のアドレスで受け取り、そのまま被害者へ転送します。元の署名がそのまま残るため、メッセージはDKIMやDMARC(Domain-based Message Authentication, Reporting & Conformance)を含むすべての認証チェックを通過します。
従来の防御が失敗する理由
メールセキュリティシステムは、脅威を検出するために認証シグナルに大きく依存しています。apple.comやpaypal.comから発信され、有効な暗号署名が付いたメッセージであれば、セキュリティフィルターは信頼できるものとして扱います。
転送プロセスによりSPF(Sender Policy Framework)のチェックは失敗しますが、整合したDKIM署名だけで認証要件を満たしてしまうため、DMARCは依然として通過します。
企業が特定のフィールドで自由形式のテキスト入力を許可しているため、攻撃者は詐欺コンテンツを正規に署名されたメッセージへ直接埋め込みます。
このユーザー提供コンテンツが認証済みメール本文の一部となるため、従来のフィルターが本物の通知と区別するのは事実上不可能になります。
現実世界への影響
INKYのセキュリティ研究者は、AppleとPayPalの両方のメールを悪用するアクティブなキャンペーンを記録しました。
被害者は、Appleからの確認のように見えるサブスクリプション確認、またはPayPalからの異議申し立て通知を受け取ります。いずれも適切なロゴ、書式、有効な認証が備わっています。
唯一の危険信号は、「Dear, To cancel Call…」のような不自然な文言の後に電話番号が続くことかもしれません。
疑いを持たないユーザーが記載された番号に電話すると、詐欺師に直接つながり、支払い情報や個人情報を搾取されたり、リモートアクセス型マルウェアのインストールを促されたりします。
攻撃が成功するのは、受信者が認知度の高いブランドからの通信を信頼し、特にメールシステムが真正性を確認してしまう場合があるためです。
組織と個人は、メールヘッダーを注意深く確認すべきです。「To:」アドレスが意図した受信者と一致しているかを確認してください。不一致は転送を示します。
メール内の電話番号には懐疑的であるべきです。正規企業は、突然の電話を促すのではなく、公式ウェブサイトへ誘導します。
DKIMリプレイ攻撃は、信頼されたインフラを自己反転させる形で悪用する進化する脅威であり、効果的に対抗するには技術的な対策と警戒心の双方が必要です。
ユーザー教育は引き続き重要です。従業員は、信頼できるドメインからの認証済みメールであっても、攻撃者が挿入した悪意あるコンテンツを含み得ることを理解する必要があります。
予期しない請求書やアカウント通知を受け取った場合、埋め込まれたリンクや電話番号に反応するのではなく、公式ウェブサイトへ直接アクセスするべきです。
翻訳元: https://gbhackers.com/apple-paypal-invoice-emails/
