ボイスメールを装っていますがボイスメールではないものが届くことがあるようです。
そんなお話。
- メール受信
新しいボイスメールがありますよ、と案内するメールが届きます。 - メールに添付ファイル
添付ファイルの名称には音符マークが含まれていていかにもボイスメールに見える雰囲気を出しています。
しかし拡張子を見ると「htm」となっています。HTMLです。 - 添付ファイルはそのままでは読めない
添付ファイルはエンコードされたJavaScriptです。
そのまま読むことはできません。 - JavaScriptはリダイレクトする
デコードしたJavaScriptを実行すると、被害者のブラウザはJavaScriptがリダイレクトしたURLを参照します。 - URLは個別生成
URLは標的となる組織のドメイン名の文字列を含むFQDNになっています。
URLの左端のところに被害者の組織のドメイン名の文字列がある状態のため、うっかりしていると自然なURLとみてしまうかもしれません。 - CAPTCHAチェック
もうあなたのブラウザにはフィッシングサイトが表示されています。
しかしコンテンツはまだ表示されていません。
コンテンツ表示の前にCAPTCHAチェックが表示されます。
「信号機を選んでください」とかそういうよくある人間判別用機構です。
これがあることでどことなく正規のサイトのように感じてしまうかもしれません。
しかしCAPTCHAチェックを悪用するフィッシングサイトは新しいものではありません。 - アカウント入力画面
いよいよ大詰めです。
アカウント入力画面が表示されます。
MicrosoftのOffice365のログイン画面です。
これは本物のOffice365のログイン画面ではありません。
しかし見た目はとても整っています。いかにも本家のサイトに見える仕上がりです。
ここで入力した資格情報は攻撃者に届けられます。
身に覚えのないメールの添付ファイルは警戒して開かないという意識の人も最近は多いかもしれません。
でも、ボイスメールがありますというお知らせのメールが来たら開いてしまうかもしれないです。
よく考えられていると思います。
こういうパターンもあるのですね。
参考記事(外部リンク):Resurgence of Voicemail-themed Phishing Attacks Targeting
Key Industry Verticals in US
www.zscaler.jp/blogs/security-research/resurgence-voicemail-themed-phishing-attacks-targeting-key-industry
| この記事をシェア |
|
|---|
