数千の Microsoft 365 資格情報がフィッシング サーバーにプレーンテキストで保存されていることが発見されました。これは、不動産の専門家を標的とした、異例の資格情報収集キャンペーンの一環として行われました。 研究者によると、この攻撃は、従来のユーザー名とパスワードの組み合わせがもたらすリスクの増大と進化を示しており、特にフィッシングが巧妙化を続け、基本的な電子メール セキュリティを回避しているためです。
Ironscales の研究者は、サイバー攻撃者が、不動産業界で有名な 365 つの金融サービス ベンダーである First American Financial Corp. と United Wholesale Mortgage の従業員を装った攻撃を発見しました。 アナリストによると、サイバー犯罪者はこのアカウントを使用して、不動産業者、不動産弁護士、権原代理人、買い手と売り手にフィッシング メールを送信し、Microsoft XNUMX のなりすましログイン ページに誘導して資格情報を取得しようとしています。
電子メールアラートは、レビューが必要な添付文書、または安全なサーバーでホストされている新しいメッセージがあることをターゲットにしています。 15月XNUMX日掲載 アイアンスケールのキャンペーンについて。 どちらの場合も、埋め込まれたリンクによって受信者は偽のログイン ページに誘導され、Microsoft 365 にサインインするよう求められます。
悪意のあるページにアクセスすると、研究者は手順に異常なねじれがあることに気付きました。攻撃者は、各フィッシング セッションから複数のパスワードを引き出そうとすることで、被害者との時間を最大限に活用しようとしました。
研究者の記事によると、「これらの 365 クレデンシャルを送信しようとするたびにエラーが返され、ユーザーは再試行するよう求められました。 「ユーザーは通常、過去に使用した可能性のある他のパスワードのバリエーションを試す前に、同じ資格情報を少なくとももう一度送信します。これにより、犯罪者が販売したり、総当たり攻撃や資格情報の詰め込み攻撃で使用したりする資格情報の金鉱が提供されます。人気のある金融またはソーシャル メディア アカウントにアクセスできます。」
Ironscales の創設者兼 CEO である Eyal Benishti 氏は、Dark Reading に、よく考え抜かれた計画で被害者をターゲットにする際の注意が、このキャンペーンの最も注目すべき側面の XNUMX つであると語っています。
「これは後を追っている 不動産関係の方々 (不動産業者、権原代理人、不動産弁護士)、非常によく知られたブランドやよく知られた行動を促すフレーズ(「これらの安全な文書を確認してください」または「この安全なメッセージを読んでください」)を偽装する電子メール フィッシング テンプレートを使用しています」と彼は言います。
キャンペーンがどこまで拡大するかは不明ですが、同社の調査によると、これまでに少なくとも数千件がフィッシングされていることがわかりました。
「フィッシングの総数は不明です。私たちは、顧客と交差するいくつかの事例を調査しただけです」とベニシュティ氏は言います。 「しかし、私たちが分析したわずかなサンプルから、2,000 回を超える送信試行で 10,000 を超える一意の認証情報セットが見つかりました (多くのユーザーが同じ認証情報または別の認証情報を複数回提供しました)。」
被害者へのリスクが高い: 不動産関連の取引は、巧妙な詐欺詐欺、特に取引の標的になることがよくあります。 不動産権原会社の関与.
「傾向と統計に基づくと、これらの攻撃者は資格情報を使用して、不動産取引に関連する電信送金を傍受/転送/リダイレクトできるようにすることを望んでいる可能性があります」と Benishti 氏は述べています。
Microsoft Safe Links が仕事中に落ちる
また、この特定のキャンペーンで注目に値する (そして残念なことに) ことは、基本的なセキュリティ制御が明らかに失敗したことです。
フィッシングの最初のラウンドでは、ターゲットがクリックするように求められた URL は、それ自体を隠そうとはしなかったと研究者は指摘しています。 /folde…[dot]shtm.」
ただし、その後の波では、安全なリンクの URL の背後にアドレスが隠されました。これは Microsoft Defender にある機能で、URL をスキャンして悪意のあるリンクを検出することになっています。 安全なリンクは、リンクがスキャンされて安全であると判断されると、特別な命名法を使用して別の URL でリンクを上書きします。
この場合、このツールは、「これはフィッシングです!」という実際の顔を視覚的に検査することを難しくしただけです。 リンクを設定し、メッセージがメール フィルターを簡単に通過できるようにしました。 マイクロソフトはコメントの要請に応じていません。
「Safe Links には既知の弱点がいくつかあります。この状況では、誤った安心感を生み出すことが重大な弱点です」と Benishti 氏は言います。 「Safe Links は、元のリンクに関連するリスクや欺瞞を検出しませんでしたが、リンクがあったかのように書き換えました。 ユーザーや多くのセキュリティ専門家は、セキュリティ コントロールが導入されているため、誤ったセキュリティ意識を持っていますが、このコントロールはほとんど効果がありません。」
また、United Wholesale Mortgage の電子メールでは、メッセージには「安全な電子メール通知」というフラグが付けられ、守秘義務に関する免責事項が含まれ、偽の「Proofpoint 暗号化による保護」バナーが掲げられていました。
Proofpoint のサイバーセキュリティ戦略担当エグゼクティブ バイス プレジデントである Ryan Kalember 氏は、彼の会社はブランドの乗っ取りに慣れていると述べ、その名前の偽造は実際には、同社の製品がスキャンする既知のサイバー攻撃手法であると付け加えました。
ユーザーがメッセージの信憑性を判断するためにブランディングに頼ってはならないことを思い出してください。 「また、既知のセキュリティ ベンダーになりすまして、フィッシング メールに正当性を追加することもよくあります。」
悪者でもミスをする
一方、盗まれた資格情報から恩恵を受けているのは、OG フィッシャーだけではない可能性があります。
キャンペーンの分析中に、研究者は電子メール内にあるはずのない URL を見つけました。それは、コンピューターのファイル ディレクトリを指すパスです。 そのディレクトリ内には、サイバー犯罪者が不正に得たもの、つまり特定のフィッシング サイトに送信されたすべての電子メールとパスワードの組み合わせが、誰でもアクセスできるクリアテキスト ファイルに保管されていました。
「これは完全に事故でした」とベニシュティは言います。 「ずさんな作業の結果、または誰かが開発したフィッシング キットを使用している場合は無知である可能性が高いです。闇市場で大量に購入できるものがあります。」
偽の Web ページ サーバー (およびクリアテキスト ファイル) はすぐにシャットダウンまたは削除されましたが、Benishti が指摘したように、攻撃者が使用しているフィッシング キットがクリアテキストの不具合の原因である可能性が高く、つまり、攻撃者は「盗んだ資格情報を引き続き利用できるようにする」ことを意味します。世界へ。"
クレデンシャルの盗難、高度化がフィッシング狂乱を助長
このキャンペーンは、フィッシングとクレデンシャル ハーベスティングの蔓延をより広く視野に入れ、今後の認証にとってそれが何を意味するのかを研究者は指摘しています。
Keeper Security の CEO 兼共同設立者である Darren Guccione 氏は、フィッシングはその洗練度の点で進化し続けていると述べています。 企業へのクラリオン警告、リスクのレベルが高いことを考えると。
「あらゆるレベルの悪意のある攻撃者は、リアルな電子メール テンプレートや悪意のある Web サイトなどの美学に基づく戦術を使用してフィッシング詐欺を仕立て、被害者をおびき寄せ、資格情報を変更してアカウントを乗っ取り、正当な所有者によるアクセスを防ぎます。」彼はダークリーディングに話します。 「(このような)ベンダーなりすまし攻撃では、サイバー犯罪者が盗んだ認証情報を使用して正当なメール アドレスからフィッシング メールを送信する場合、この危険な戦術はさらに説得力があります。なぜなら、メールはよく知られたソースから発信されているからです。」
最新のフィッシングのほとんどは、安全な電子メール ゲートウェイをバイパスし、なりすましや破壊を行うことさえできます。 二要素認証 (2FA) ベンダー、Bolster の製品マーケティング ディレクターである Monnia Deng 氏は、ソーシャル エンジニアリングは一般に、クラウド、モビリティ、およびリモート ワークの時代に非常に効果的であると付け加えています。
「誰もがオンライン体験が速くて簡単であることを期待するとき、人的エラーは避けられず、これらのフィッシングキャンペーンはますます巧妙になっています」と彼女は言います. 記録的な数のフィッシング関連の攻撃の原因は、XNUMX つのマクロトレンドにあると彼女は付け加えます。サブスクリプション サービス、およびフィッシング メールからサプライ チェーン攻撃を引き起こす可能性のあるテクノロジー プラットフォームの相互依存性。」
したがって、現実には、ダーク Web には盗まれたユーザー名とパスワードの大規模なキャッシュがホストされています。 ビッグ データ ダンプは珍しいことではなく、認証情報の盗み取りやブルート フォース攻撃だけでなく、追加のフィッシング攻撃にも拍車をかけています。
たとえば、攻撃者が最近の First American Financial の侵害からの情報を使用して、フィッシングの送信に使用した電子メール アカウントを侵害した可能性があります。 この事件では、個人情報を含む 800 億のドキュメントが公開されました。
「データ侵害や漏洩の半減期は、人々が考えているよりも長くなっています」と Benishti 氏は言います。 「最初のアメリカの金融侵害は 2019 年 XNUMX 月に発生しましたが、公開された個人データは数年後に兵器化される可能性があります。」
この賑やかな市場とその中で活動する暴利を阻止するために、パスワードの向こう側に目を向ける時が来た、と彼は付け加えます。
「パスワードの複雑さとローテーションの頻度はますます高まっており、セキュリティの燃え尽きにつながります」と Benishti 氏は言います。 「多くのユーザーは、複雑なパスワードを作成する作業が安全でなくなるリスクを受け入れています。正しいことを行うことは非常に複雑になるからです。 多要素認証は役に立ちますが、完全なソリューションではありません。 デジタル世界で自分が誰であるかを確認し、必要なリソースにアクセスするには、根本的な変化が必要です。」
フィッシングの津波と戦う方法
パスワードレスのアプローチが普及するのはまだ先のことであり、Proofpoint の Kalember 氏は、基本的なユーザー認識の原則が、フィッシングと戦う際の出発点であると述べています。
「人々はすべての未承諾の通信に慎重にアプローチする必要があります。特に、添付ファイルのダウンロードや開く、リンクをクリックする、個人情報や財務情報などの資格情報を開示するなど、ユーザーに行動を要求する通信には注意が必要です」と彼は言います。
また、誰もが使用するすべてのサービスで適切なパスワードの衛生状態を学び、実践することが重要です。Benishti 氏は次のように付け加えています。 . そうでない場合、動機のある攻撃者は、あらゆる種類のデータとアカウントを関連付けて、必要なものを取得する巧妙な方法を持っています。」
さらに、Ironscales は、すべての従業員に対して定期的なフィッシング シミュレーション テストを行うことを推奨しており、以下を探すための一連のレッド フラグを大まかに示しています。
- ユーザーは、送信者をよく見ることで、このフィッシング攻撃を識別できた可能性があります
- 送信元のアドレスが返信先のアドレスと一致していることと、そのアドレスが通常、取引先のビジネスと一致するドメイン (URL) からのものであることを確認してください。
- スペルや文法の誤りを探します。
- リンクの上にマウスを移動し、リンク先の完全な URL/アドレスを見て、異常に見えるかどうかを確認します。
- Microsoft 365 や Google Workspace のログインなど、サイトに関連付けられていない資格情報を要求するサイトには常に十分に注意してください。
