出典:Itsik Marom(Alamyストックフォト経由)
攻撃者たちは、スピアフィッシングキャンペーンを使って求職者を誘い込む手口を進化させ続けており、最近ではテスラやレッドブルなどの有名ブランドになりすまして履歴書の詳細をアップロードさせようとしています。最終的な目的はもちろん、将来の攻撃のために個人情報を盗むことです。
今回は、ソーシャルメディアやマーケティングの専門家が標的となっており、前述の自動車メーカーやエナジードリンクメーカー、さらにイタリアの自動車メーカーであるフェラーリなど、名の知れた企業で働く機会をちらつかせる脅威であることが、Cofense Phishing Defense Centerの研究者によるブログ記事(火曜日公開)で明らかになりました。
Cofenseは2月以降このキャンペーンを追跡しており、信頼されたブランド名を偽装したメッセージを使うことで、セキュリティフィルターや受信者自身の警戒心をすり抜ける可能性を高めていると述べています。また、通常のフィッシング手口のような「緊急性」を強調するのではなく、「まったく急ぐ必要はありません」と伝えることで、被害者の信頼を得ようとする工夫も見られます。
「これらのキャリアをテーマにしたフィッシングキャンペーンは、サイバー犯罪者が本物の採用活動を模倣することで求職者の信頼を悪用していることを示しています」と、Cofenseの研究者Emmett Smith氏とBrooke McLain氏は投稿で述べています。これらのメールは、ソーシャルエンジニアリングの手法と正規ブランドの使用、さらに多段階のプロセスを組み合わせることで、「キャンペーンに信頼性の錯覚を与えている」と指摘しています。
巧妙に作られた偽求人広告がデータを盗む
Cofenseチームは、このキャンペーンで使われた複数のフィッシングメッセージを分析し、模倣された人気ブランドによって若干の違いはあるものの、ほぼ同じ台本に従っていることを発見しました。
例えば、レッドブルを装ったメッセージでは、メール内で同社のロゴが使われ、初期URLもブランド名をサブドメインに含めることでブランドに合わせて調整されていました。これにより「候補者がリンクをクリックする可能性が高まる」と研究者は記し、最新のブランドロゴをメッセージやログインページに使うことで「被害者に偽の正当性を感じさせる」と述べています。
メールには「ソーシャルメディアマネージャー」など、受信者に合った職務内容が記載されており、応募を促すリンクが含まれています。リンクをクリックするとCAPTCHAページに誘導され、その後、偽のGlassdoorランディングページに移動し、ユーザーにメール認証情報の入力や、Facebookの認証情報を盗むために作られた偽のFacebookポータルでのログインを促します。
レッドブルの「求人」では、候補者に履歴書のアップロードも求めており、これはこのスピアフィッシングキャンペーンの過去のバージョンから進化した点だとCofenseは指摘しています。以前は、偽のGlassdoorページで氏名、電話番号、メールアドレス、住所などの個人情報(PII)の入力を求めていました。
「この新しいキャンペーンでは、ユーザーの履歴書の提出を求める追加があり、これにより本物の求人機会であるかのような錯覚を強化しています」と研究者は述べています。「履歴書によって、脅威者はさらなるPIIを収集でき、今後のソーシャルエンジニアリング攻撃に利用可能です。」
テスラやフェラーリの求人を装ったメッセージもレッドブルと同様の手口を使っています。ただし、Glassdoorのランディングページにリダイレクトするのではなく、偽のFacebookログインページに誘導する点が異なります」と研究者は述べています。
「テスラのフィッシングランディングページには、応募した職種と『ありがとうございます』というメッセージ、そして2つのサインインオプションが表示されます」と投稿で説明しています。「候補者はFacebook認証情報またはメールアドレスでログインを選択できます。メールを選ぶと、いくつかのステップを経て再び偽のFacebookログインページに誘導されます。」
求人フィッシング:うまくいくなら変える必要なし
求人勧誘はフィッシング攻撃者にとって一般的なテーマであり、効果がある限り今後も使われ続けるでしょう。これらのキャンペーンで最も変化するのは標的であり、これまでにも企業のさまざまな職種の従業員が標的となってきました。たとえば、人事担当者や熟練ソフトウェア開発者などです。
この種のキャンペーンを仕掛けているグループはいくつか存在しますが、北朝鮮のハッカーほど求人市場を攻撃対象にしている例はありません。彼らは求人担当者や求職者になりすまし、企業や応募者を欺いて金銭的利益を得たり、西側組織へのアクセスを獲得したりしています。実際、彼らはあまりにも説得力があったため、セキュリティ企業が北朝鮮の工作員をリモートワークで雇用してしまい、その後、会社支給のPCを使ってマルウェアを社内ネットワークに拡散しようとした事例もあります。
この最新のスピアフィッシングキャンペーンがソーシャルメディアやマーケティングの専門家を標的にしていることを追跡するため、Cofenseは感染URLや観測されたペイロードなどのインジケーター(IoC)リストを提供しています。いつものことですが、信頼できない送信元からの求人情報やリクルーティングメッセージを受け取った場合は、メッセージや送信者とやり取りする際に十分な注意と警戒を払うべきです。
翻訳元: https://www.darkreading.com/remote-workforce/influencers-phishers-tesla-red-bull-jobs
