精巧でかなり珍しい フィッシングキャンペーン は、eFax 通知を偽装し、侵害された Dynamics 365 Customer Voice ビジネス アカウントを使用して、被害者をおびき寄せ、microsoft.com ページ経由で資格情報を放棄させようとしています。
攻撃者は、広く拡散されたキャンペーンを通じて数十の企業を攻撃しました。 Microsoft 365 をターゲットにする Cofense Phishing Defense Center (PDC) の研究者は、水曜日に公開されたブログ投稿で明らかにした.
このキャンペーンは、一般的な手口と変わった手口を組み合わせて使用し、eFax サービスの顧客フィードバック調査に誘導するように見えるページをクリックするようにユーザーを誘導しますが、代わりにユーザーの認証情報を盗みます。
攻撃者は、複数段階の取り組みのいくつかの段階で、複数の microsoft.com ページでホストされているコンテンツを使用して、eFax だけでなく Microsoft も偽装します。 この詐欺は、Cofense が春以降に観察した、同様の戦術を使用する多数のフィッシング キャンペーンの XNUMX つです、と Cofense のインテリジェンス分析マネージャーである Joseph Gallop は述べています。
「今年の XNUMX 月に、このキャンペーンで使用された種類の ncv[.]microsoft[.]com 調査リンクが埋め込まれたフィッシング メールが大量に確認されるようになりました」と彼は Dark Reading に語っています。
戦術の組み合わせ
フィッシング メールは従来のルアーを使用しており、受信者が 10 ページの企業向け eFax を受信したと主張し、注意を促しています。 しかしその後、物事は常軌を逸している、とコフェンス PDC のナサニエル・サギバンダは説明した。 水曜日の投稿.
受信者は、ほとんどの場合、署名が必要なドキュメントに関連していることを期待してメッセージを開きます。 「しかし、それはメッセージ本文を読んだときに私たちが目にするものではありません」と彼は書いています.
代わりに、電子メールには、実際のファイルを含むファックスから配信された名前のない PDF ファイルが添付されているように見えるものが含まれています。Gallop によると、これはフィッシング メールの珍しい特徴です。
「クレデンシャル フィッシング キャンペーンの多くは、ホストされているファイルへのリンクを使用し、添付ファイルを使用するものもありますが、添付ファイルを装った埋め込みリンクを目にすることはあまりありません」と彼は書いています。
投稿によると、プロットはメッセージのさらに下の方に厚く、そこには、顧客からのフィードバックを提供するために使用されるような調査サイトがメッセージを生成したことを示すフッターが含まれています。
顧客調査の模倣
ユーザーがリンクをクリックすると、攻撃者によって侵害された Microsoft Dynamics 365 ページによってレンダリングされた eFax ソリューション ページの説得力のある模倣に誘導される、と研究者は述べています。
このページには別のページへのリンクが含まれており、eFax サービスに関するフィードバックを提供するための Microsoft Customer Voice 調査につながっているように見えますが、代わりに被害者を資格情報を盗み出す Microsoft ログイン ページに誘導します。
このページの正当性をさらに強化するために、攻撃者はなりすましサービスの詳細を示す eFax ソリューションのビデオを埋め込み、問い合わせがあれば「@eFaxdynamic365」に連絡するようユーザーに指示するまでに至った、と研究者は述べています。
ページの下部にある [送信] ボタンは、脅威アクターが詐欺で実際の Microsoft Customer Voice フィードバック フォーム テンプレートを使用したことの追加の確認としても機能すると、彼らは付け加えました。
次に、攻撃者はテンプレートを「偽の eFax 情報で受信者にリンクをクリックするように誘導する」ように変更しました。これにより、攻撃者がホストする外部 URL に資格情報を送信する偽の Microsoft ログイン ページが表示された、と Sagibanda は書いています。
訓練された目をだます
元のキャンペーンは、Microsoft の調査でホストされた最小限の情報のみを含む、はるかに単純なものでしたが、eFax なりすましキャンペーンは、キャンペーンの正当性を強化するためにさらに進んでいる、と Gallop は言います。
多段階の戦術と二重のなりすましの組み合わせにより、メッセージが安全な電子メール ゲートウェイをすり抜ける可能性があるだけでなく、フィッシング詐欺を見抜くように訓練された最も知識のある企業ユーザーでさえだまされる可能性がある、と彼は指摘します。
「プロセス全体の各段階で URL バーをチェックし続けるユーザーだけが、これをフィッシングの試みであると確実に識別できます」と Gallop 氏は言います。
確かに、 サイバーセキュリティ会社 Vade による調査 また、水曜日にリリースされたことがわかりました ブランドのなりすまし フィッシャーが被害者をだまして悪意のある電子メールをクリックさせるために使用するツールとして引き続きトップです。
実際、攻撃者は 2022 年上半期に観測されたキャンペーンで最も頻繁に Microsoft のペルソナを装っていたことが研究者によって判明しました。
フィッシングゲームは依然として強い
現時点では、研究者は詐欺の背後にいる可能性のある人物や、攻撃者が認証情報を盗む具体的な動機を特定していないとギャロップは述べています。
Vade のレポートによると、メールを介したマルウェアはリモート攻撃よりもはるかに簡単に配布できるため、フィッシングは依然として脅威アクターが被害者を侵害する最も簡単で最も頻繁に使用される方法の XNUMX つです。 .
実際、このタイプの攻撃は、今年の第 2022 四半期まで前月比で増加し、その後 100 月にはさらに増加し、「XNUMX 年 XNUMX 月以来見られなかった驚くべき量の電子メールが戻ってきました」。 XNUMX 万通のフィッシング メールが配布されています。
「ハッカーが電子メールを介して懲罰的なサイバー攻撃を比較的簡単に配信できるため、電子メールは攻撃の最大のベクトルのXNUMXつであり、企業やエンドユーザーにとって常に脅威となっています」とVadeのNatalie Petittoはレポートに書いています. 「フィッシングメールは、あなたが最も信頼するブランドになりすまし、潜在的な被害者のネットワークを広げ、ブランドになりすましたフィッシング詐欺師に正当性の覆いを提供します。」