巧妙な偽の侵害警告が、Malwarebytesの従業員を1Passwordの認証情報を騙し取られそうにさせた。
Malwarebytesは、1Passwordの侵害通知システムへのユーザーの信頼を悪用した新たなフィッシングキャンペーンを警告し、従業員が自分のボールト認証情報を詐欺師に渡しそうになったと付け加えました。
この誘いは、受信者のマスターパスワードがデータ侵害で発見されたと通知するメールで、同社の「Watchtower」機能からのよくあるアラートを模倣していました。
「誰かの1Passwordのログイン情報を盗むことは、サイバー犯罪者にとってはまさに大当たりのようなものです。なぜなら、ターゲットがパスワードマネージャーに保存しているすべてのログイン情報をエクスポートできる可能性があるからです」とMalwarebytesのPeter Arntzはブログ投稿で述べています。
インシデントの分析により、1Passwordのブランド、表現、緊急性を示す要素、正規のサポートリンクなどが使用されていたことが明らかになりました。「今すぐアカウントを保護する」ボタンに誘導し、タイポスクワットされたドメイン上の認証情報窃取ページに被害者を誘導していました。
不完全だが巧妙な偽装
偽のメールは「watchtower@eightninety[.]com」から送信されており、一見すると本物のように見えました。埋め込まれたリンクは、実際の企業メールでもよく使われるMailchimpのサービスであるMandrillappを利用しており、ユーザーを「onepassword[.]com」という偽装ドメインにリダイレクトしていました。
さらに現実味を持たせるため、「お問い合わせ」リンクは同じMandrillリダイレクト経由で本物の1Passwordサポートページに誘導されていました。Malwarebytesが共有した偽メールには、「あなたの1Passwordアカウントのパスワードが漏洩しました」や「直ちに対応してください」といった一般的な警告メッセージが表示されていました。
「1PasswordのWatchtower機能は漏洩したパスワードについて警告を送ることがありますが、それは既知のデータ侵害のデータベースをチェックし、1Passwordアプリ内や非常に限定的なメールで直接通知するものです。このような一般的なメッセージを送ることはありません」とArntzは警告しています。
しかし、この詐欺は長くは続きませんでした。10月2日までに悪意のあるドメインは複数のベンダーによってフィッシングとしてタグ付けされ、Mandrillもリダイレクトをブロックし始めました。10月3日までにボタンをクリックしても、認証情報入力画面ではなく「不正なURL」エラーが表示されるだけになりました。
この対応によって何十万もの潜在的な被害者を救った可能性がありますが、それまでに何人が既に騙されていたかは不明です。というのも、同様(おそらく同一)のキャンペーンが以前Hoax-Slayerによって報告されていました。
ボールトキーが危険に晒される
フィッシングリンクを早い段階でクリックした人は、大きなリスクを負っていました。複製されたランディングページでは、ユーザーに1Passwordのログイン情報を入力させ、攻撃者にパスワードボールト全体へのアクセスを与えてしまう可能性がありました。この一度の侵害で、SNSアカウントから銀行の認証情報まで、あらゆるものが危険に晒される恐れがあります。
Malwarebytesは、特に即時のパスワードリセットを要求するような、身に覚えのない警告には常に懐疑的であるようユーザーに呼びかけています。このような警告を受け取った場合、最も安全なのは1Passwordアプリを直接開くか、1Password.comにアクセスしてアカウントの状態を確認することだと付け加えています。1Passwordを狙ったこの手口は、より巧妙で洗練されたフィッシング攻撃の大きな波の一部です。最近では、URLセキュリティサービスによるリンクラッピングを悪用し、悪意のあるリダイレクトやペイロードを偽のCAPTCHAの背後に隠して、ユーザーにシステム上でコマンドを貼り付けさせるよう仕向けるキャンペーンも報告されています。
翻訳元: https://www.csoonline.com/article/4068754/phishers-turn-1passwords-watchtower-into-a-blind-spot.html
