TokyoBlackHatNews

gbhackers.com 4分で読了

信頼されたプラットフォームがフィリピンの銀行認証情報の窃取に悪用される

ハッカーは、フィリピンの銀行ユーザーをターゲットにした高度なフィッシングキャンペーンを展開するために、信頼されたオンラインプラットフォームを利用し始めています。

メールセキュリティの継続的な改善にもかかわらず、フィッシングはそのスケーラビリティと導入の容易さから最も効果的な攻撃方法の一つです。

2024年初頭から活動中であり、2026年現在も進化し続けているキャンペーンは、主に金融機関そのものではなく、フィリピンの大手銀行のお客様をターゲットにしています。

研究者は、フィッシングメールを通じて配布された900以上の悪意あるリンクを特定し、この作業中に400以上の被害者が影響を受けました。

疑わしいドメインに依存する従来のフィッシング攻撃とは異なり、このキャンペーンは正規のサービスを戦略的に悪用している点で目立っています。

Group-IB CERTチームは、フィリピンの大手銀行ユーザーをターゲットにしたフィッシングメールキャンペーンを発見しました。

脅迫行為者は、Google Business、AMP CDN、Cloudflare Workers、URL短縮サービスなどのプラットフォームを悪用して、悪意あるリンクを偽装しました。

フィリピンの銀行認証情報

フィッシングリダイレクトを信頼されたドメイン内に埋め込むことで、攻撃者はメール配信性を大幅に向上させ、セキュアなメールゲートウェイをバイパスしました。

Image

メール自体は侵害されたアカウントから送信されたもので、その多くは地下フォーラムで流通している盗まれた認証情報のコンボリストデータベースから入手したものと考えられます。

このタクティックは信頼性を高めました。メッセージは使い捨てメールサービスではなく、正当な組織ドメインから発信されているように見えたためです。

Image

ソーシャルエンジニアリングはキャンペーンの成功に中心的な役割を果たしました。2024年の初期フィッシング波では、偽の取引アラートに焦点が当てられ、ユーザーに「キャンセル支払い」リンクをクリックするよう促していました。

2025年末までに、攻撃者は疑わしいデバイスログインに関する警告と口座情報の更新要求を含む新しいナラティブに移行しました。これらの進化するテーマは、効果を維持し、ユーザーの疑いを回避するのに役立ちました。

被害者がリンクをクリックすると、複数のリダイレクション層を通じてルーティングされた後、非常に説得力のある偽の銀行ページに到達しました。

これらのページは「ホットリンク」として知られる技術を使用して、正規の銀行サーバーから直接実際のアセットを引き出し、本物のインターフェースを複製しました。これにより、視覚的な精度が向上しただけでなく、セキュリティツールによる検出が減少しました。

攻撃ワークフローは、リアルタイムの金融詐欺用に設計されていました。被害者はログイン認証情報、続いて個人情報とワンタイムパスワード(OTP)の入力を促されました。

攻撃者がGoogle Businessの投稿内にフィッシングリダイレクトを埋め込むか、このドメインを中間体として使用する場合、SEGは多くの場合、それが安全だと想定してメールを通します。

Image

使用されたフィッシングキットは自動化されたスクリプトを使用して、このデータをTelegramボットを介して瞬時に送信し、攻撃者が多要素認証をバイパスし、数分以内に不正な取引を実行できるようにしました。

より高度なひねりとして、研究者は攻撃者がフィリピンのccTLD内の正規の教育機関のドメインを侵害したことも発見しました。

有効なSSL証明書を持つ悪意あるサブドメインを作成することで、彼らは信頼されたドメイン下にフィッシングインフラストラクチャをホストし、キャンペーンの信頼性と回復力をさらに高めました。

脅迫行為者は、フィリピンの正規の教育機関のインフラストラクチャを侵害して、フィッシングペイロードをホストしました。 

Image

インフラストラクチャは、短命なSSL証明書と急速に回転するサブドメインなど、慎重な計画の兆候を示していました。検出を回避するためです。

さらに、研究者は、組織がHTTPリファラーヘッダーを監視することで、このような攻撃を検出できることに注意しました。これにより、正規のサーバーからアセットをロードしている許可されていないドメインが明らかになる可能性があります。

このキャンペーンは、最新のフィッシング作業がいかに適応的でテクニカルに洗練されているかを浮き彫りにしています。

信頼されたプラットフォーム、侵害されたアカウント、リアルタイムデータ流出を組み合わせることで、攻撃者は高い成功率を維持しながら操作をスケール化できます。

セキュリティの専門家は、より強力な監視、改善されたメールフィルタリング、継続的なユーザー認識の必要性を強調しています。

サイバー犯罪者がよく知られたプラットフォームとブランドへの信頼をますます悪用するにつれて、金融機関とその顧客の両方は、進化するフィッシング脅威からの増加するリスクに直面しています。

翻訳元: https://gbhackers.com/philippine-banking-credentials/

ソース: gbhackers.com
#サイバー犯罪 #セキュリティ脅威 #ソーシャルエンジニアリング #フィッシング詐欺 #フィリピン #メール攻撃 #多要因認証 #認証情報盗難 #金融詐欺 #銀行

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚