CAPTCHAの仕組みを組み込んだフィッシングキャンペーンが展開されていることが確認されています。
今回の攻撃手法も手が込んでいます。
どんな流れで進むのでしょうか。
- 検索エンジンで文書を探す
攻撃者はあらかじめ閲覧者がいると考えられる書籍の情報を想定し、攻撃用のPDFを作成します。
作成したPDF文書はWebflowコンテンツ配信ネットワークに保存します。
当該の書籍を検索エンジンで検索した人が出てくると、本来のその書籍と並ぶような格好で攻撃者が設置した文書が候補に表示されます。 - 攻撃者の用意したPDFへのリンクをクリックする
リンクをクリックすると、CAPTCHAが画面に表示されます。
しかし、このCAPTCHAはCAPTCHAではなく、CAPTCHAに見えるもの、です。
閲覧者としては通常のCAPTCHAに見えますので、このCAPTCHAチャレンジを進めてしまいます。 - 本物のCAPTCHAの完了画面が表示される
CAPTCHAに見えるものでCAPTCHAチャレンジを進めたことになりますが、その後に表示される画面は実際のCloudflare Turnstile CAPTCHAにリダイレクトされる動きとなるため、CAPTCHAチャレンジを実施したわけではないのですが、画面的にはCAPTCHAチャレンジを実際に実施したように見える状態になりました。
これにより、閲覧者は正規のサイトを利用していると錯覚した状態になります。 - PDFの含まれるフォーラムが表示される
当初閲覧者が探していた書籍へのリンクを含むフォーラムのページが画面に表示されます。
閲覧者からすると、やっとたどり着いたという感じでしょうか。 - PDFへのリンクをクリックする
閲覧者は目的のPDFへのリンクを見つけましたので、これをクリックします。
そうすると、今度は電子メールアドレスと氏名の入力を促されます。
画面の指示に従ってこれらの情報を入力して次に進むと、今度はさらにクレジットカードの情報を入力する画面に遷移します。
カードの情報を入れて画面を進めようとすると「すでにそのカードは使われているので別のを入力してください」のようなエラーが表示されます。
カード情報を2回または3回入力すると、画面は「This page isn’t working」となります。
HTTP500エラーページにリダイレクトされてしまった状態となりました。
閲覧者はCAPTCHAを経てたどりついたサイトを信頼してしまい、メールアドレスと氏名とカード情報を脅威アクターに提供してしまいました。
しかし、閲覧者はなにも入手できませんでした。
CAPTCHAの動作している後ろ側で悪意あるスクリプトを実行されてしまうようなパターンもありますし、この例のようにフィッシングサイトに誘い込まれるようなパターンもあります。
CAPTCHAはサイト側が閲覧者が人間であることを確認する作用はありますが、閲覧者側がサイト側の何らかの正当性を確認する手段とはできないということなのでしょうね。
New Phishing Campaign Abuses Webflow, SEO, and Fake CAPTCHAs
https://www.netskope.com/blog/new-phishing-campaign-abuses-webflow-seo-and-fake-captchas
| この記事をシェア |
|
|---|
