電話ベースの詐欺は消滅しませんでした。進化しました。
ヴィッシング(音声フィッシング)は、電話通話を使用して被害者からお金や機密情報を抽出するソーシャルエンジニアリング技術です。数年前、これらの攻撃は通常、IRS、FBI、またはMicrosoft サポートになりすまして詐欺師から来た非請求電話でした。アプローチはシンプルで高ボリュームでした。
その後、通信プロバイダーは「詐欺の可能性あり」などの警告で疑わしい通話にラベルを付け始めました。通話ブロックと分析は、アウトバウンド ヴィッシングの経済学を混乱させました。攻撃者は誰が通話を開始するかを変えることで対応しました。
被害者に直接電話をかける代わりに、受信者に偽のインボイス、サブスクリプション更新、またはアカウントの問題に関して電話番号に電話するよう指示するメール を送信し始めました。
発信元のポイントをシフトさせることで、犯罪者は通話ラベリング保護を回避し、即座に信頼性を獲得しました。被害者が通話を行ったため、相互作用は正当に感じられました。
私はこのモデルをハイブリッドヴィッシングと呼びます。メール配信を声ベースの ソーシャルエンジニアリング と組み合わせるためです。
セキュアメール ゲートウェイが改善され、検出モデルがインボイス テーマのルアーの識別がより効果的になったため、攻撃者は新しい課題に直面しました:メッセージの配信可能性です。
従来のフィッシング メールがインボックスに確実に到達できない場合は、別の信頼できる配信チャネルが必要でした。
その要件がヴィッシング戦術の最新の進化につながりました:サービス悪用です。
メール配信のための信頼できるプラットフォームの悪用
攻撃者は、攻撃者が制御するインフラストラクチャから悪意のあるメールを送信する代わりに、正当なSaaS プラットフォームを悪用してルアーを配信することがますます増えています。
以下は、ハイブリッドヴィッシング メッセージを配信するために Google カレンダーが悪用されている例です:
この場合、攻撃者は「注文確認 – 請求書が送信されました」というミーティング タイトルでカレンダー招待状を作成し、ミーティングの説明内にヴィッシング指示を埋め込みました。セキュアメール ゲートウェイはメッセージを評価します。Google のインフラストラクチャによって生成された正当なカレンダー招待状が表示されます。メッセージ構造、ヘッダー、送信IP はすべて、Google Workspace トラフィックの予想パターンと一致しています。
認証の観点から見ると、メッセージはSPF、DKIM、および DMARC に合格します。評判の観点から見ると、それは非常に信頼できるドメインから発生しています。コンテンツの観点から見ると、標準カレンダー通知として形式設定されています。
したがって、多くのフィルタリング システムはメッセージをフィッシング試行ではなく、正当なコラボレーション成果物として分類します。
過去数か月間、Microsoft と Google カレンダー招待状、Zoom ミーティング招待状、およびその他のコラボレーション ツールの同様の悪用を観察してきました。
最近の一例では、Squarespace のウェブサイト コラボレーション ワークフローの悪用が含まれていました。
Squarespace を使用すると、ユーザーはウェブサイトを共同で構築および管理できます。管理ユーザーは、名前とメール アドレスを入力してコントリビューター を招待できます。その後、Squarespace はプロジェクト名と関連する詳細を含む自動招待メールを送信します。
メールは Squarespace のサーバーから発信され、SPF、DKIM、DMARC の検証に合格します。送信ドメインは強い評判を持っているため、メッセージはメール受信者のインボックスに到達する可能性が高いです。
観察されたケースでは、攻撃者は「名前」フィールドに次のテキストを入力しました:
「497 USD will be charged for Geek Squad Plan via your Bank Call +1 (802) XXX – XXXX now If unauthorized, otherwise order ID -GHD59IYT INVOICE : GKLTRF9」
プロジェクト名は以下のように設定されました:
「497.00 USD will be charged to your bank for Geek Squad Plan」
結果は、古典的な払い戻し詐欺ルアーを搭載した、完全に認証された、ブランド正当なメールでした。スプーフィングは必要ありませんでした。悪意のあるインフラストラクチャは使用されませんでした。
攻撃者は単に、信頼できるプラットフォーム内のユーザーが制御する入力フィールドを兵器化しました。以下は受信者がインボックスに表示された内容です:
これが機能する理由
このテクニックは、メールセキュリティの構造的な非対称性を悪用しています。
SPF、DKIM、DMARC などのメール認証プロトコルはドメイン制御を検証します。
意図は検証しません。攻撃者が認証済みメールを送信する正当なプラットフォームに悪意のあるコンテンツを注入できる場合、メッセージはそのプラットフォームの評判を継承します。
セキュアメール ゲートウェイは送信者の評判と認証の位置合わせを大きくウェイトします。
両方の指標が肯定的である場合、コンテンツベースの検出は詐欺を識別する全ての責任を負わなければなりません。ただし、メッセージが正当なワークフロー通知として形式設定されているため、検出モデルは従来のフィッシング メールとは異なる方法で扱う可能性があります。
攻撃者は実質的にインフラストラクチャ、評判、および配信可能性を悪用されたサービスプロバイダーにアウトソーシングします。
ビジネスリスクと影響
このシフトは複数のレベルでリスクを生み出します。
エンドユーザーと企業の場合、ハイブリッドヴィッシング攻撃は多くの場合、直接的な経済的損失につながります。
提供された番号に電話する被害者は、ソーシャルエンジニアリングによってリモートアクセスを許可したり、資金を転送したり、機密情報を開示したりするように促されます。
被害者が通話を開始するため、従来の電話防御は保護を提供しません。
サービスプロバイダーの場合、影響は評判と運用です。詐欺のために繰り返し悪用されるプラットフォームは、以下を経験する可能性があります:
- ブランド損傷とユーザー信頼の侵食
- 虐待レポート数とサポート コストの増加
- コントロールが不十分と見なされた場合の潜在的な規制監視
- ダウンストリーム メール プロバイダーによるそれらの正当なメール トラフィックのフィルタリングまたはブロックの増加
極端な場合、大規模な悪用はプラットフォームから発信される全てのトランザクション メールの配信可能性を低下させることができます。
サービスプロバイダーの緩和戦略
ユーザーが制御するコンテンツを含む自動メッセージを送信するあらゆるサービスは、この方法で悪用される可能性があります。
サービスプロバイダーは、次を含む階層化されたコントロールを実装する必要があります:
- 入力検証とサニタイズ
文字セットを制限し、名前フィールドの数値コンテンツを制限し、合理的な長さの制約を強制します。例えば、「名前」フィールドは、ドル金額と電話番号を含む完全な文を受け入れてはいけません。
- コンテンツ異常検出
アウトバウンド トランザクション メールに自動スキャンを適用します。高リスク キーワード、通貨参照と組み合わせた電話番号、または一般的な払い戻し詐欺言語を含む招待状にフラグを立てるか、ブロックします。
- コンテキスト警告バナー
カレンダー システムなどのコラボレーション プラットフォームの場合、招待状に疑わしい財務言語または外部電話番号が含まれている場合は、警告通知を追加します。完全なソリューションではありませんが、目に見える摩擦は攻撃者の成功率を低下させます。
- レート制限と悪用監視
財務用語を含む大量の招待状や、関連のないアカウント間での電話番号の繰り返し使用などのパターンを検出します。
エンドユーザーへのガイダンス
エンドユーザーは防御の最終ラインのままです。
非請求のインボイス、サブスクリプション アラート、またはミーティング招待状にリストされた電話番号に電話しないでください。代わりに、組織の公式連絡先情報を独立して検索し、信頼できるソースを使用して通信を開始します。
メッセージが金融トランザクションの周りに緊急性を作り出す場合は、他方が証明されるまでソーシャルエンジニアリングを想定してください。
最終的には
ヴィッシングは新しいものではありませんが、配信メカニズムは進化し続けています。
ディフェンダーが1つのレイヤーでコントロールを展開するにつれて、攻撃者は別のレイヤーにシフトします。今日、彼らはルアーがインボックスに到達することを確認するために、正当なオンライン サービスの信頼とインフラストラクチャを悪用しています。
音声チャネルは金銭化エンジンのままですが、SaaS プラットフォームは配信ツールになりました。
メール認証を完全なソリューションとして扱う組織は、引き続き驚かされます。認証はメッセージを送信した人を証明します。メッセージをすべて送信する必要があったかどうかは証明しません。
