中国系スミッシング詐欺グループがSMS及びOTTアプリ経由で認証情報盗難を拡大

中国語のフィッシング・アズ・ア・サービス（PhaaS）プラットフォームは、SMSおよびiMessageやリッチコミュニケーションサービス（RCS）などのオーバー・ザ・トップ（OTT）メッセージングチャネルを活用して、グローバルなリーチを急速に拡大しています。

過去数ヶ月間、研究者たちは最も活発な中国系フィッシングエコシステムの一部を特定・追跡するために、大規模な分析を実施してきました。

彼らの調査結果は、高度に組織化された作戦が、高度なインフラストラクチャ、スケーラブルなフレームワーク、アフィリエイト駆動型モデルを使用して、世界中で認証情報盗難キャンペーンを展開していることを明らかにしています。

5月4日から、urlscan.ioはこれらのエコシステムに焦点を当てた詳細な脅威インテリジェンスレポートのシリーズをリリースします。

urlscan脅威研究チームは、最も影響力のある中国語フィッシング・アズ・ア・サービス（PhaaS）の一部を特定、クラスタリング、追跡するために広範な研究を実施してきました。

各レポートは、特定のフィッシングフレームワークまたは活動クラスターを検査し、インフラストラクチャ設計、キャンペーン実行、追跡メカニズム、および検出技術に関する洞察を提供します。

スミッシングおよびOTT悪用の増加

最も注目すべきトレンドの1つは、モバイル通信チャネルへの依存度の増加です。従来のメールフィッシングの代わりに、攻撃者はSMS（「スミッシング」）とOTTメッセージングプラットフォームを使用して、被害者に直接スマートフォンで到達しています。

これらのメッセージは、銀行、配達サービス、または料金徴収業者などの信頼できるブランドになりすまします。被害者は、認証情報と財務情報を盗むために設計されたフェイクログインページにつながる悪意のあるリンクをクリックするようにだまされています。

iMessageやRCSなどのOTTプラットフォームの使用により、攻撃者は従来の通信フィルタリングシステムをバイパスでき、検出をより困難にし、配信成功率を高めることができます。

研究者たちはこれらのキャンペーンの産業規模を強調しています。脅威アクターは頻繁にSIMボックスインフラストラクチャを使用しており、これにより中央集約的なシステムから複数国にわたって大量のSMSメッセージを送信することができます。

これらの作戦の中核は、複数のキャンペーンを一度に管理できるバックエンドフィッシングフレームワークです。

単一のプラットフォームは、異なるブランドと地域に合わせた数十のフィッシングテンプレートをホストでき、攻撃者が効率的に国境を越えたキャンペーンを実行することを可能にします。

この中央集約型モデルは、運用コストを削減しながら潜在的な利益を最大化し、経験豊富なサイバー犯罪者と新規参入者の両方にとって魅力的です。

Group-IB、Resecurity、GSMAなどの組織からのオープンソースインテリジェンスは、これらのエコシステムの急速な成長を確認しています。

レポートは、インフラストラクチャ、自動化ツール、および他の脅威アクターがこれらのプラットフォームを手数料を支払って使用することを可能にするアフィリエイトプログラムへの投資増加を示しています。

APWGとMicrosoftからのテレメトリデータおよび業界レポートも、フィッシング関連活動の急激な増加を示しています。これには、ドメイン登録、フィッシングキット配備、および中国語フレームワークにリンクされたスキャン活動の急増が含まれます。

研究者たちは、グローバルなSMSベースのフィッシングキャンペーンの相当な部分が、直接的または関連のある事業者を通じて、これらのエコシステムまでトレースできるようになったと信じています。

OTTおよびSMSを使用したスミッシングキャンペーンの拡大は、攻撃者の戦略がモバイルファースト・ターゲティングへのシフトを強調しています。セキュリティチームは以下をするよう勧められています：

財務的インセンティブが成長し続けるにつれて、PhaaS モデルはさらに進化すると予想され、より多くの脅威アクターが独自のフレームワークを開発し、ますます混雑するサイバー犯罪市場で競争しています。

今後のurlscan.ioレポートシリーズは、これらの作戦についてのより深い可視性を提供し、サイバーセキュリティコミュニティ全体で改善された検出および軽減努力をサポートすることを目的としています。