フィッシング詐欺は長年にわたって、巨大ブランドからの通信を巧妙に偽造する技術を持ってきました。しかし、現代のデジタル詐欺師たちは、従来の偽造ランディングページを避け、本物の顧客サポート施設に見せかけて巧妙に偽装されたチャットインターフェースへ被害者を誘導する傾向が高まっています。Cofense の最前線チームは、その正確なメカニズムを記録しています。悪意のある者たちは、通常は企業が顧客との実時間でのやり取りに使用するLiveChat プラットフォームを武器化し、PayPal やAmazon といった主権者になりすまして、認証情報、銀行口座情報、多要素認証パスコード、および個人的なデータを巧妙に搾取しています。
この詐欺キャンペーンは、2つの異なるおとり通信に基づいています。最初のバージョンは、被害者に差し迫った幻の200ドルの返金を通知し、取引の詳細を確認するよう誘惑します。2番目のバージョンは、はるかにあいまいな立場を取ります。確認待ちの注文があることを示唆し、有毒なハイパーリンクを「更新内容を確認」などの無機質で官僚的な表現の下に隠しています。方法論は異なりますが、根底にある計算は同じです。1つの戦略は予期しない金銭の魅力を容赦なく搾取しますが、もう1つは緊急性と曖昧さを武器化し、受信者がその注文の具体的な出所について完全に困惑しているときに打ちます。
ハイパーリンクをたどると、被害者は典型的なログインフォームを持つ標準的なフィッシングドメインではなく、lc[.]chat ドメイン上のLiveChat インフラストラクチャでホストされているポータルへと導かれます。この正確なアーキテクチャル経路により、この攻撃は疑わしさが指数関数的に低くなります。個人はサポート窓口の深く馴染みのある美学で迎えられ、したがってサービスの正当な使者と会話していることを確認する傾向がはるかに高くなります。同時に、視覚的なモチーフは、特定の誘い文句を反映するよう綿密に調整されます。1つのインスタンスではポータルはPayPal の衣装に身を包み、もう1つではAmazon の外套を身に着けます。
この時点から、演出方法が異なります。Cofense が観察したPayPal バージョン内では、話し合いは自動化またはAI が調整した対話の特徴を持ちます。ポータルが現れると同時にメッセージが即座に表示され、被害者を次のフェーズへと素早く導きます。被害者の応答の後、彼らは外部ハイパーリンクが提供されます。これは前述の200ドル返金プロトコルの完了に必須のものに見えます。まさにここから、より従来的なフィッシング攻撃のフェーズが始まります。被害者は外部の潜在的なリソースでPayPal 認証情報を認証するよう懇願されます。
ユーザー名とパスワードを明かした後も、この装置は衰えず続きます。被害者はアカウントに紐付けられた携帯デバイスで認証パスコードを受け取り、その後、彼らは自発的に偽造インターフェースを通じてこれを悪意のある者に送信します。本質的に、デジタル略奪者はパスワードを盗むだけではなく、二次認証要素をリアルタイムで傍受し、ログイン防御を即座に回避します。情報セキュリティの分野では、この時点は最高の重要性を持ちます。この攻撃は技術的にはMFA アーキテクチャを破壊しません。むしろ、ソーシャルエンジニアリングの巧妙な展開と被害者の綿密なステップバイステップの同行を通じて、メカニズム全体を回避するのです。
認証パスコードを明かした後、被害者は次のフォームへシームレスに導かれます。そこでセキュリティプロトコルの厳粛な外観の下に、支払い情報が強制的に要求されます。ここで彼らは「請求情報」と呼ばれるもの、つまりカード所有者の請求と確認に必要なデータを収集します。これらのフィールドの中には生年月日が含まれており、これは通常の支払い確認では異常ですが、個人身元の補助的な識別子として悪意のある者にとって極めて価値があります。このような包括的なドッシエにより、攻撃者は違法な金銭抽出を指揮するだけでなく、アカウント自体の完全な乗っ取りも合理化できるようになります。
その後、銀行カードの検証を要求して幻の返金を最終化するための別のインターフェースが現れます。被害者はカード番号、有効期限、および補助的な情報を明かし、その時点で悪意のある者は被害者のテレメトリの全体を所有するようになります。アカウントパスワード、MFA パスコード、個人的な情報、および支払い手段の神聖な座標です。この劇の頂点では、被害者は携帯デバイスに送信されたさらに別の認証パスコードを明かすよう求められるかもしれません。これはおそらく、アカウントへのアクセスを恒久的に確立するか、カードと新しく修正されたプロフィール情報に関連する秘密の操作を検証するための二次的な試みを示しています。
Amazon バージョンは異なる基盤に基づいており、ある意味では指数関数的にはるかに危険な試みとして表れます。法医学的な説明から判断すると、攻撃者は被害者に手動で接する傾向があり、事前に定められた自動スクリプトの制約を避けています。対話が始まる前に、被害者はメールアドレスを提供するよう懇願されます。その後、予想された返金の「ロック解除」を告知するメッセージがチャット内に表示されます。その後、サポート使者の外観に身を包んだ対話者が、情報の組織的で段階的な収集を開始します。最初はメールの検証を要求し、携帯番号、生年月日、最後に住所へと進みます。
この特定の演出は、情報の略奪のためだけではなく、本物の検証の幻想の綿密な捏造のために必要です。被害者は、サービスが資金を支給する前にプロフィールを厳密に監査していることへの絶対的な信念に陥ります。Cofense は、メッセージ内の粗い用語と構文上の異常、例えば奇妙な挨拶、不要なスペーシング、冗長な感嘆符の存在を厳密に指摘しています。このぎこちない散文は取るに足らないものに見えるかもしれませんが、このような爆撃の中では、これらの細かい詳細が綿密に選別されたレスポンスを配信する公認のサポート先陣ではなく、会話テンプレートを慌てて操作する実在する操作者を頻繁に暴露するのです。
この基本的な情報の集約の後、偽造エージェントは200ドルの返金が表面上は利用可能であると宣言しますが、必要なカード情報は彼らのシステムに明らかに不足しています。その時点から、カード座標の大胆で直接的な収集が始まります。PAN、有効期限、CVC コードは検証という揺るがしようのない外観の下に要求されます。さらに被害者の警戒心を麻痺させるため、対話者は明示的に厳粛に、情報は最高の機密保持で処理されることを誓います。このような綿密に計算されたフレーズは、被害者が最も激しく守られたデータをチャットの奈落へ直接明かすよう懇願される正確な時点で、内なる抵抗を解体するために特別に設計されています。
この劇のステージングとしてLiveChat を選択することは、決して偶然ではありません。ありふれたフィッシングポータルは頻繁に即座の疑いを引き起こします。個人はログインインターフェース、外部ドメインを登録し、直感的に偽造品に直面していることを推論します。サポートチャットは深く異なる心理的レベルで動作します。リアルタイムの対話は、正当なサービスの強力な幻想を作り出し、結果として、被害者はアドレスバーを低下した警戒心で精査し、彼らの認知能力は進行中の会話に完全に消費されます。同時に、悪意のある者は対話者の応答に動的に適応する力を与えられ、個人が躊躇を示した場合、明確化の尋問で彼らを絶えず押し、戦術的アプローチを即座に転換します。
純粋に技術的な観点から、このキャンペーンは異なる脅威クラスの交響曲を同時に指揮します。単一の装置の中に統合されているのは、認証情報フィッシング、個人データの略奪、銀行座標の収集、多要素認証パスコードの傍受、および正当なカスタマーサポートの見事な模倣です。このような不吉な三位一体は、この攻撃を例外的に破壊的にします。悪意のある者は知識の単一の断片ではなく、包括的なドッシエを抽出します。それはアカウントの乗っ取り、金銭詐欺の指揮、およびその同じ被害者に対する後続の攻撃の促進に完全に十分です。
二次メッセージ内の主権ブランドが最初は完全に隠されているという点が特に興味深いです。受信者は確認が必要なあいまいな注文に関する通知を単に認識するだけです。Amazon の名称はLiveChat ポータルで後になって現れます。この正確な戦略は、特に個人が異なる商業ドメイン全体で多くの本物の保留中の注文を持っている場合、個人が不一致を即座に認識する確率を急速に低下させます。その結果、爆撃は単一の特定の人口統計を分離せず、むしろ配送、返金、支払い確認に関する通知に深く慣れている多くのユーザーに対してその怒りを解き放ちます。
この演出されたシナリオは、現代のフィッシングの深い変態を見事に照らします。単一の偽造フォームではなく、悪意のある者はますます整った迷路のような鎖全体を展開しています。初期メッセージ、チャットインターフェース、外部ログインポータル、補助的な情報を要求する追加フォーム、認証パスコードの反復的な要求、そして最後にチャットへの帰還。資本がまもなく現れるという幻想の約束で完成です。この綿密に調整されたシーケンスを通じて、個々の懇願は疑わしさがほとんどない。しかし、全体では、被害者は苦労しながら、彼らの最も重大な機密情報の全体を明かします。
