- フィッシングキャンペーンがDHLメールを偽装してログイン認証情報を盗んでいる
- 被害者は偽の運送状確認と段階的な検証ステップで騙されている
- パスワードとデバイス詳細を含むキャプチャされたデータが、攻撃者のメールボックスに直接送信されている
Forcepointは、人々のDHLログイン認証情報を盗むために設計された継続中のフィッシングキャンペーンについてのレポートを公開しました。
それは被害者にメールを送信し、運送状の確認を求めることから始まります。メール自体は本物に見え、正規のDHLメールと同じ方法で設計されていますが、このメールは偽物として簡単に特定できます。メッセージの送信に使用されているドメインはcupelva[.]comであり、DHLとはまったく関係がありません。
しかし、多くの人は送信者のアドレスを再確認しないため、一部の人がこのトリックに引っかかり、メッセージに含まれている「運送状情報を確認」ボタンをクリックする可能性があると安全に仮定できます。
記事は下に続きます
知覚の操作
それが起こると、被害者は悪意のあるランディングページにリダイレクトされ、画面に表示されている小包のコードを入力するよう求められます。当然のことながら、すべてが偽物であり、被害者の警戒を低くしてプロセスを信頼させるためだけに構築されています。
「このページは配送検証ステップのように見えるように設計されています。これは実際のOTPメカニズムではありません」とForcepointは述べました。「このステップは認証機能を提供しません。被害者のワークフロー認識を操作するために存在します。」
画面に表示された番号を入力した後、ページはバックエンドで何かが本当に分析されていると被害者に思わせるために数秒待機します。その後、被害者は2番目のページにリダイレクトされ、ログイン認証情報を提供するよう求められます。
これが盗難が発生する場所であり、被害者がパスワードを提供すると、それはメールを通じて中継されます:
「キットはEmailJSを初期化し、設定されたサービスとテンプレートを使用してキャプチャされたデータを送信します。攻撃者のメールボックスはslatty077@tutamail[.]comです」とProofpointが追加しました。メールとパスワードに加えて、キャンペーンはまた被害者のIPアドレス、デバイスの詳細、および位置情報をキャプチャします。
「フィッシングが成功するために技術的な高度さは必要ありません」とProofpointは強調しました。「このキャンペーンが機能するのは、普通に見えるからです。DHLブランディングは馴染み深く、検証ステップは正当に見え、ログインフォームは被害者がすでに開始した何かを確認しているように見えます。すべてが偽物です。」
