暗号資産ユーザーに警告を発しているセキュリティ研究者らは、メタマスクユーザーを標的とした新しいフィッシングキャンペーンが始まったことが明らかになった。攻撃者らは、被害者にアカウントを保護させようと恐怖心を与えるようなメールを送付している。しかし、真の目的は認証情報を盗むことである。
メタマスクはブラウザ拡張機能とモバイルアプリケーションとして利用できる広く使われている暗号資産ウォレットである。デジタル資産を直接管理するため、金銭的動機を持つサイバー犯罪者の頻繁な標的となっている。
この最新のキャンペーンが目立つのは、攻撃者がソーシャルエンジニアリングと、セキュリティフィルターを回避するために設計された無害に見える文書を組み合わせているからである。
フィッシングメールは、不審なログイン活動の後、ユーザーが二要素認証(2FA)を有効にする必要があると主張している。
一見すると、メッセージは正規のセキュリティアラートに見える。攻撃者は緊急性と恐怖心に頼り、古典的なソーシャルエンジニアリング技法を使用して被害者に素早く行動させようとしている。
メール内には「Security_Reports.pdf」という名前のPDF添付ファイルがある。その文書は、被害者のアカウントへの異常なアクセスの詳細を示すセキュリティインシデントレポートのように見える。
その目的は心理的なものである:受信者が自分のウォレットが攻撃を受けていると確信させ、指示に従わせることである。
興味深いことに、PDF自体にはマルウェアが含まれていない。技術的分析によると、開発者が一般的に使用する正規の文書作成ツールであるReportLab PDFライブラリを使用して生成されたことが示されている。
メタデータは匿名の著者権と自動生成のためのタイムスタンプを明かしている。ファイルのSHA-256ハッシュは以下の通りである:
攻撃者はこのクリーンな文書を使用して、アンチウイルス検出を回避する。悪意のあるコードではないため、メールゲートウェイがそれをブロックする可能性は低い。
その後、メールは被害者をクラウドインフラストラクチャでホストされている偽の検証ページに誘導する:
信頼できるクラウドプロバイダーでページをホストすることで、信頼性が高まり、評判ベースのフィルタリングシステムを回避するのに役立つ。
被害者がリンクをクリックすると、「2FAを有効にする」ように求められる。セキュリティを向上させるのではなく、ページはウォレット認証情報または復旧フレーズをキャプチャする。
攻撃者がこの情報を取得すると、ウォレットにすぐにアクセスして暗号資産を転送することができ、これは通常は取り戻せない。
このキャンペーンは増加するフィッシング傾向を示している:攻撃者は悪意のある添付ファイルから説得力のある文書にシフトしている。無害なPDFを配信することで、セキュリティスキャンを回避しながら人間の行動を操作している。
創意工夫にもかかわらず、このキャンペーンはいくつかの弱点を示している。送信者アドレスはなりすまされておらず、PDFは被害者のメールアドレスで個人化されていない。
しかし、多くのユーザーは現実的なインシデントレポートと緊急性のためにメッセージを信頼する可能性がある。
メールリンク経由ではなく、正規のアプリ内で実際の二要素認証を有効にすることが最も安全な防御のままである。
結局のところ、この攻撃は重要なサイバーセキュリティの教訓を浮き彫りにしている:フィッシングはマルウェアを通じてではなく、心理学を通じて成功する。
翻訳元: https://cyberpress.org/fake-security-reports-target-metamask/