堅牢なセキュリティ防御にもかかわらず、メール詐欺は依然として主要で極めて効果的な脅威です。サイバー犯罪者は頻繁に信頼できる金融機関に成りすまし、これらのブランドが構築した信頼を悪用して、組織と顧客を標的にしています。
Group-IBによると、無料ホスティングプラットフォームが広く利用可能であることにより、攻撃者は最小限の努力でフィッシングキャンペーンを構築・配信でき、業務が高度にスケーラブルになります。
脅威行為者は、様々なソーシャルエンジニアリングの説話を含むフィッシングメールを配信して被害者を誘い込みました。2024年を通じて、メールは通常、不正な取引が検出されたと主張し、ユーザーに「支払キャンセル」ボタンをクリックするよう促しました。
この戦術は緊迫感を生み出し、被害者を悪意あるウェブページへ向かわせました。2025年後半までに、テーマは疑わしいデバイスログインに関する警告と、アカウントセキュリティ向上のため連絡先情報を確認するリクエストへシフトしました。
さらに、脅威行為者はフィッシングリンクをメール本文に直接埋め込むことを中止しました。代わりに、信頼できるプラットフォームを活用して悪意あるコンテンツをホストまたはリダイレクトしました。
悪用されたサービスには、Google Business Profiles、AMP Content Delivery Network(CDN)、URLショートナー、およびGoogle Cloud Workstationsが含まれていました。
正規インフラストラクチャ内に攻撃をネストすることにより、攻撃者は高いドメイン評判を継承し、安全なメールゲートウェイを効果的に回避しました。
被害者が欺瞞的なリンクをクリックすると、正規のバンキングポータルに酷似したフィッシングサイトにリダイレクトされました。
視覚的忠実性を確保するために、攻撃者は「ホットリンク」技術を採用しました。フィッシングキットは動的に画像やスクリプトなどのリソースを、なりすまし銀行の公式サーバーから直接取得しました。
これが偽のポータルを本物に見せましたが、悪意あるRefererヘッダーを介してデジタルフィンガープリントを作成し、ネットワーク防御者が攻撃を特定・ブロックするために使用できます。
この作業の主要な目的は即座の金銭窃盗です。ワークフローは、不正な資金移動をリアルタイムで容易にするために特別に設計されています。被害者はまず銀行のユーザー名とパスワードを入力します。
悪意あるスクリプトは、最初の送信後に意図的にエラーメッセージをトリガーし、被害者に認証情報を再入力させ、タイプミスのリスクを低減させます。
このコードをキャプチャすることにより、攻撃者は多要素認証(MFA)をバイパスし、OTPが有効期限切れになる前に詐欺的なトランザクションを完了させます。盗まれたデータはTelegramボットを経由してリアルタイムで体系的に流出させられます。
この進行中の調査は、典型的な認証情報収集スキームよりもはるかに適応的な作業を明らかにしています。
説話をシフトし、信頼できるクラウドサービスを悪用し、正規ドメインをハイジャックすることにより、PHISLES脅威行為者は、到達範囲を最大化し、最新のセキュリティ防御をバイパスする明確な意図を示しています。
翻訳元: https://cyberpress.org/trusted-platforms-steal-credentials/