いろいろな攻撃手法が確認されていますが、またあらたな手法が登場しています。
Precision-Validated Phishing、フィッシングの手法です。
どのようなものなのでしょうか。
- 狭いターゲット
そもそもの作戦が従来のフィッシングと異なります。
これまでよく見られた従来のフィッシングでは、大量の宛先に攻撃のメールを受信させて感染者の数を稼ごうとします。
しかし、Precision-Validated Phishingは異なります。
あらかじめ攻撃者が想定した、攻撃の価値の高いと考えられるメールアドレスにだけ作用する形式で動作します。 - 狭いターゲットの攻撃者にとってのメリット
たくさんの被害者の情報を集めても、そのなかのすべてが 攻撃者にとって大きな価値を持つものとなるかはわかりません。
それに比べると、あらかじめ価値の高いと想定できるメールアドレスの一覧を作って、そこに絞って反応できる機構で攻撃を展開すると、集まった情報はそのまま価値の高いものとなります。
また、不正に情報を収集した後で、入手情報の精査をする手間が少なくなりそうです。 - 狭いターゲットの研究者にとってのデメリット
この狭いターゲットに展開するという方向性は、セキュリティ研究者にとって面倒な方向に作用します。
通常セキュリティ研究者は、セキュリティ調査を実施する際には無効なメールアドレスやテスト用のメールアドレスを使用します。
従来のフィッシング手法であれば、この方法でも調査を実施できるケースが多かったのですが、Precision-Validated Phishingの場合は これでは役に立ちません。
狙っているリストにないメールアドレスをフィッシングのシステムに入力すると、悪意のないサイトにリダイレクトするように動作してしまいます。
これでは調査を進めることができません。
これは研究者による調査だけでなく、研究で使用される自動セキュリティクローラーやサンドボックスにも影響を与えることとなります。
そして結果として、検出率を低下させ、フィッシング活動の存続期間を延ばすことになります。 - メール検証の手法
いくつかの方法が確認されています。- APIベースの検証
攻撃者は、サードパーティの提供する正規の電子メール検証サービスのAPIをフィッシングキットに統合し、電子メールの有効性をリアルタイムで確認できるようにします。 - JavaScriptベースの検証
悪意のあるログインフォームには、ユーザーが電子メールを入力すると攻撃者のサーバーにpingを送信し、パスワードの取得に進む前にアドレスを確認する隠しスクリプトが含まれています。
- APIベースの検証
- 追加のメール検証
被害者として候補となっているメールアドレスがわかったとします。
そして、そのメールアドレスの所有者に、調査のためにそのメールアドレスを利用することを許可されたとします。
これを使ってセキュリティ研究者が調査を試みたとしても、うまく進めることができないように追加の検証が実施される機構が実装されています。
攻撃対象のメールがフィッシングシステムに入力されると、フィッシングシステムはその該当のメールアドレスに対して継続用の文字列を含むメールを送信するのです。
リストにあるメールアドレスの使用者が被害者となるためには、そのメールの内容を利用することが必要となります。
個別の対応でこういった情報の開示を関係者に依頼することは可能な場合もあるかもしれませんが、これでは継続的な調査はできそうにありません。
攻撃手法は日々変化していきます。
防御側も継続的に対策を更新していく必要があるということなのでしょうね。
The Rise of Precision-Validated Credential Theft: A New Challenge for Defenders
https://cofense.com/blog/the-rise-of-precision-validated-credential-theft-a-new-challenge-for-defenders
| この記事をシェア |
|
|---|
