Statistaによると、2022年には全世界で1,610億個以上の小包が発送され、配送サービスが現代電子商取引の基盤として確立されました。
サイバー犯罪者は、この世界的な依存を「偽の配送追跡」フィッシング詐欺を通じて大規模に悪用しています。
配達漏れの不安につけ込み、脅威アクターは個人情報と銀行認証情報を収集するためのリアルタイムフィッシングキャンペーンを展開しており、特に中東およびアフリカ(MEA)への攻撃が集中しています。
攻撃者は、小包の配送が失敗したと主張する緊急のSMSメッセージを送信してスキャムを開始します。これらのテキストは通常、被害者に住所情報を更新するか、予期しない取扱手数料と関税を支払って小包を解放するよう促します。
これらのアラートを完全に本物に見せるため、詐欺師は地元に見える匿名番号またはなりすまし送信者IDを使用します。
このなりすまし技法により、詐欺的なメッセージは被害者の電話に既に存在する信頼できる配送業者の正当なメッセージスレッドに直接マージすることで、基本的な精査を回避できます。
被害者がリンクをクリックすると、.xyz、.help、.shopなどの安価で使い捨て可能なトップレベルドメイン上でホストされている詐欺的なウェブサイトにリダイレクトされます。
裏側では、これらのフィッシングページは非常に高度です。Group-IBの研究者によるHTML分析では、オープンなWebSocket接続を確立する埋め込みスクリプトが明らかになり、攻撃者がリアルタイムでキーストロークをログすることができます。
被害者が住所、クレジットカード番号、ワンタイムパスワードを入力すると、データは即座に攻撃者制御のサーバーに流出します。
さらに、悪意のあるスクリプトは個々の被害者セッションを追跡するための一意のUUIDトークンを生成し、高度に組織されたバックエンド操作を示します。
このインフラストラクチャの多くは、中国語のPhishing-as-a-Service(PhaaS)プラットフォームであるDarculaと特性を共有しています。
主に地下のTelegramチャネルを通じて運営されており、Darculaはサイバー犯罪者に20,000以上の偽造ドメインと数百のフィッシングテンプレートを提供しています。
主な囮は郵便サービスに関係していますが、この組織的な操作は急速にオンラインショップ、輸送アプリ、通信プロバイダーを模倣するために拡大しています。
これらの偽の配送詐欺の急速な拡大には、消費者と組織の両方からの積極的な防御措置が必要です。
Group-IBによると、攻撃者は高圧的なソーシャルエンジニアリング戦術に大きく依存しているため、危険信号を特定することは認証情報の盗難を防ぐ最も効果的な方法です。
翻訳元: https://cyberpress.org/mea-phishing-targets-banks/