TokyoBlackHatNews

gbhackers.com 5分で読了

中東・アフリカの配送詐欺フィッシング急増、銀行データをリアルタイム盗出

毎日、何十億人もの人々が郵便配達やクーリエサービスに依存して、手書きの手紙から高額なオンライン注文まで、あらゆるものを配達してもらっています。グローバルな電子商取引の急速な成長により、小包配達サービスは日常生活の重要な部分になっています。

万国郵便連合の「郵便セクターの状況」レポートによると、郵便サービスは現在、世界中で約73億人を支援しています。

Statistaの業界データによると、2022年には世界中で約1610億個の小包が出荷され、中国、米国、日本が配達の大きな割合を占めています。

しかし、クーリエサービスへのこの大規模な依存は、サイバー犯罪者に新しい機会も生み出しました。

セキュリティ研究者は、中東・アフリカ(MEA)地域での偽の配送追跡詐欺の急増を特定しており、攻撃者はSMSフィッシングキャンペーンを使用して銀行認証情報、支払いデータ、個人情報を盗んでいます。

詐欺の仕組み

攻撃は通常、小包配達に失敗したと主張するテキストメッセージで始まります。被害者は、複数の試行後に小包が返送され、小包を再配達する前にアドレスを更新するか、小額の手数料を支払う必要があると言われます。

これらのメッセージには、緊急の指示と正当なクーリエサービスのように見えるよう設計された偽の追跡ページへのリンクが含まれることがよくあります。ユーザーがリンクをクリックすると、モバイルデバイス用に最適化されたフィッシングウェブサイトにリダイレクトされます。

ページは通常、以下のような説得力のある出荷詳細を表示します:

  • 偽の追跡番号と出荷ID。
  • 配達失敗の説明。
  • 住所情報の更新要求。
  • 税金、取扱手数料、または関税の支払いプロンプト。

個人情報を入力した後、被害者は小包をリリースするための支払い情報を提供するよう求められます。この段階で、攻撃者はクレジットカード番号、銀行認証情報、CVVコード、さらには一回限りのパスワード(OTP)を盗みます。

Image

フィッシングページの技術分析により、サイトのHTMLコードに埋め込まれた洗練されたデータ窃盗技術が明らかになりました。

研究者は、wss://{domain}/wswss://{domain}/wsのようなコマンドを使用して、攻撃者が制御するサーバーとのWebSocket接続を確立するスクリプトを発見しました。

調査官はまた、各訪問者セッションの一意のUUIDトークンの生成も観察しました。これにより、オペレーターは個々の被害者を追跡し、盗まれたデータをより効率的に管理でき、操作が組織化され自動化されていることを示しています。

詐欺を配信するために、攻撃者はさまざまなスプーフィングまたは一括メッセージ技術を使用してSMS経由で被害者にフィッシングリンクを送信します。

Image

この永続的な接続により、フィッシングページが被害者データをすぐに送信できます。カード番号、ログイン認証情報、OTPコードを含むフォームに入力されたすべてのキーストロークは、リアルタイムでキャプチャされ、攻撃者に直接送信されます。

SMSスプーフィングが信頼性を高める

攻撃者は、フィッシングメッセージが正当に見えるようにするために、いくつかのテクニックを使用します。1つの一般的な方法は、地元の携帯電話事業者に似た匿名だが地域形式の番号からSMSメッセージを送信することです。たとえば、エジプトの被害者は、地元のプレフィックスを使用している番号からメッセージを受け取る場合があります。

別の戦術は、送信者IDスプーフィングを伴い、攻撃者は送信者名を操作して、メッセージが信頼できるクーリエブランドから来たように見えるようにします。

多くの場合、悪意のあるSMSは正当な配達サービスからの既存のメッセージスレッドに直接マージされ、詐欺をより検出しにくくします。

キャンペーン背後の正確な脅威アクターは不明なままですが、研究者はフィッシング基盤とDarculaフィッシングキット(中国語のPhishing-as-a-Service(PhaaS)プラットフォーム)間の類似性を特定しました。

Image

Darculaは、報告によると、郵便サービス、銀行、航空会社、政府プラットフォームなどの主要ブランドを模倣する2万以上の偽造ドメインと数百のフィッシングテンプレートをサイバー犯罪者に提供しています。

このツールキットは100以上の国での攻撃にリンクされており、多くの場合、地下のテレグラムチャネルを通じて配布されています。

キャンペーンで使用されている多くのフィッシングドメインは、.xyz、.shop、.top、.click、.sbs、.ccなどの低コストのトップレベルドメインに依存しており、攻撃者が正当なクーリエポータルを模倣する使い捨てウェブサイトを迅速に展開することができます。

研究者は、配送追跡詐欺がより広いフィッシングエコシステムの一部にすぎないと警告しています。同じインフラストラクチャがオンラインショッピングプラットフォーム、運輸サービス、通信プロバイダー、サブスクリプションサービス、公共料金の支払いをターゲットにするために使用されています。

Image

セキュリティ専門家は、ユーザーがSMS経由で送信される要求されていない追跡リンクをクリックしないようにアドバイスしています。代わりに、顧客は公式なクーリエウェブサイトを通じてまたは正当な電子商取引プラットフォームによって提供される追跡リンクを通じて、配送状況を直接確認する必要があります。

これらの詐欺の急速な成長は、サイバー犯罪者がどのように消費者行動と配達不安を悪用して、大規模なフィッシング関与を促進しているかを強調しています。

企業はまた、ドメイン監視、顧客認識キャンペーン、およびアンチフィッシング保護を強化して、これらの急速に高度化する社会的エンジニアリング攻撃の影響を減らすことが奨励されています。

翻訳元: https://gbhackers.com/mea-shipment-phishing-scams/

ソース: gbhackers.com
#Darcula #phishing-as-a-service #SMSスプーフィング #SMS詐欺 #フィッシング詐欺 #リアルタイムデータ窃盗 #中東・アフリカ #詐欺キャンペーン #配送詐欺 #銀行認証情報盗出

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚