フィッシング
2021年も継続するネット詐欺:偽の懸賞応募、送金サービスや決済サイト、宅配偽装など海外の手口を紹介
トレンドマイクロの2021年セキュリティ脅威予測では、サイバー犯罪者が新型コロナウイルス(COVID-19)に便乗した攻撃活動を2021年も継続すると予測しています。本ブログ記事では、2020年12月下旬から2021年1月の第1週までに海外で観測されたいくつかのフィッシングキャンペーンの動向を解説します。
トレンドマイクロの2021年セキュリティ脅威予測では、サイバー犯罪者が新型コロナウイルス(COVID-19)に便乗した攻撃活動を2021年も継続すると予測しています。これはコロナ禍の影響によりオンラインショッピングの利用者やECサイト上での決済サービスの使用頻度が増加し電子商取引への依存度が高まったことに加え、金融支援の必要性が増大したことにも起因します。サイバー犯罪者はこれらの状況を利用してネット利用者を誘導し、重要情報などを詐取しようを試みます。認証情報やカード情報を詐取する新たな手口が日々生み出されている中で、古くから存在し巧妙化を続ける脅威もいまだに多く利用されています。本ブログ記事では、2020年12月下旬から2021年1月の第1週までに海外で観測されたいくつかのフィッシングキャンペーンの動向を解説します。
■偽の懸賞に申し込ませる詐欺手口
弊社はあるキャンペーンを調査する中で、サイバー犯罪者が偽の懸賞申し込み通知を利用してユーザを詐欺サイト(winneragent[.]com/usr/register)に誘導する手口を確認しました。この詐欺サイトの上部(図1)には、「メディアの注目が集中している」ため懸賞への申し込みを一定時間後に締め切ります、というメッセージとともにカウントダウンタイマーが表示されています。これは、ユーザに焦燥感を抱かせ冷静な判断を鈍らせることが目的です。
この偽の懸賞用ランディングページには別途何かを購入する必要性はないとする文言があるにもかかわらず、偽の入力フォーム上に個人情報およびカード情報を入力して「10万冊の電子書籍への無制限のダウンロードアクセス権」を購入するよう指示しています。ここでは初期費用にかかる19.99米ドル(約2,110円)は、月々の更新料とされる39.99米ドル(約4,220円)とは別に請求されるようです。
また、この詐欺サイトは提携サイトへの外部リンクがありませんが、複数の企業によって認証されていると主張しています。
さらに調査を進めると、このドメインは比較的新しく、実際には作成されてから1年未満であることがわかりました。これは、このドメインが本質的に詐欺目的に利用されていると判断するための材料の一つとなります。
この懸賞申し込み詐欺サイトの利用規約のページには「Red Gem Media」という会社名が記されています。この会社は上記以外にも詐欺的な活動を行っており、複数の当選詐欺サイトを運営していると報告されています。
ユーザが認証情報およびカード情報を入力し送信すると、詐欺サイトは送信に失敗したことを示すメッセージ(図3)に誘導します。
■多額の振り込みをすると偽り、クレジットカード情報を詐取する詐欺手口
上記とは別に最近確認されたフィッシング詐欺は、「送金手数料を支払ってくれたら、個人アカウントに多額の振り込みをする」とユーザに話を持ちかけカード情報を提供させようと試みます。攻撃の流れとしては、はじめにサイバー犯罪者がユーザにフィッシングメール(図4)を送信します。このメールには、「127,280ロシアルーブル(約181,500円)の送金依頼が銀行によって承認されたが、送金を実行するにはユーザの確認が必要」と記されています。
このメールでは文法の誤りが確認できるほか、偽の取引番号と偽の差出人口座番号が記されています。しかし、このメールの中で明らかに欠けているのは、送金サービスの名前です。[ Go to your personal account ](あなたの個人アカウントに進む)ボタンをクリックすると、ユーザは偽サイト(ckconsulting[.]host/landing4.html)に誘導されます。この送金サービスを騙る偽サイト上では、ユーザに割り当てられたとみられる偽の個人アカウント(図5)が表示されます。
一見何の変哲もない銀行名「Internet Bank」のものとみられる偽の個人アカウントページは、比較的新しく作成されたドメイン上に構築されています。
[ Pay the commission and receive the transfer ](送金手数料を支払って振込を受ける)ボタンをクリックすると、ユーザは不正サイト(fjpay[.]icu)に誘導され偽のクレジットまたはデビットカード情報の入力フォーム(図6)が表示されます。このフォームに表示されている送金手数料は515ロシアルーブル(約734円)です。
ユーザの認証情報がフォーム上に入力されると、偽サイトは正規のトランザクション検証サービス(cap.tempts.securecode.com)に誘導します。この確認手順は、提供されたカード情報の詳細が有効であるかどうかを確認するために実行されます。カード情報の有効性が確認されると、銀行によって支払いが拒否されたことを示すエラーメッセージ(図7)が表示されます。
■偽のオンライン決済サービスサイト
さらに弊社は、5つの偽のオンライン決済サービスサイトを確認しました。これらのサイトは、ユーザからクレジットカード情報を詐取する目的で構築されたと考えられます。ユーザには、これらの偽サイトへのリンクが埋め込まれた電子メールが届きます。
5つのうち2つの偽サイト「gosinpay[.]com」および「onepay[.]shop」は比較的新しいドメインであることが判明しました。
ユーザが一定額の支払いに同意すると、偽サイトはカード情報の有効性を確認するために、正規トランザクション検証サービス(cap.tests.securecode.com)に誘導します。その後、支払いが成功したかどうかを示す表示もないまま、偽サイトは元の入力フォームへと誘導します。
残る3つの偽のオンライン決済サービスサイト、「pay-ping[.]top」、「payink[.]top」、「aalbn[.]xyz」は、いずれも作成されてから1カ月も経っていないことがわかりました。
カード情報を入力してユーザが[ Pay ](支払う)ボタンをクリックすると、エラーメッセージが表示されます。
■宅配偽装詐欺
弊社は、正規の郵便局や宅配会社を装ってユーザから金融情報を詐取しようと試みる3つの宅配偽装詐欺を確認しました。これらのキャンペーンの背後にいるサイバー犯罪者は、フィッシングメールを介してこれらの偽サイトへのリンクを拡散しています。3つのキャンペーンはいずれも宅配会社の正規コンテンツを偽装したフィッシングサイトを手口に利用することでユーザに疑念を抱かせることなく金融情報を提供させていました。
■台湾のUPS社を偽装した偽のオンライン決済サービスサイト
あるフィッシングメール(図11)では、台湾の国際輸送物流会社「UPS社」を騙る偽の荷物配達の支払いページが表示されました。この偽の支払いページでは、荷物が配送される前にユーザのクレジットカードまたはデビットカードにて支払いを済ませるよう求めています。
この偽の支払いフォームには、UPS社とは無関係なURL(rupeezen[.]com/wp-content/ups.taiwan.delivery/5ff9a9f49fffc26/payment.php)が埋め込まれており、[ Pay and continue ](支払いして続ける)ボタンをクリックすると、ユーザは偽のSMS認証ページに誘導されます。
認証ページの文法的な誤りに加えて、これが偽ページである判断する材料として、ユーザが「SMS KEY」の入力欄(図12)に任意の番号を入力すると読み込みが無限に続くページ(図13)に自動的につながることです。
■偽の中華郵政サイト
さらに弊社は、台湾の公的な郵便サービス「中華郵政」のオンライン決済サイトを騙るキャンペーンも確認しました。前述のキャンペーンと同様に、この偽のオンライン決済サイトは荷物が配送される前に支払いを済ませるようユーザに促し、金融情報を入力させるために中華郵政の正規コンテンツを偽装しています。
この偽のオンライン決済サイトに関連する不正URLは、中華郵政の正規Webサイトの使用するドメインの構造に類似しているという特徴があります。(「track-post-gov-tw[.]info/post/internet/group/fe98e/SSLAuthUI.html」は「track-post-tw[.]com/dpc/sd5cds48sd8.html」から誘導されます)。
両ドメインとも登録日や作成日の情報は提供されていませんが、これらのドメインのコンテンツは弊社が調査を行った時点でアクセス不可となっているため、比較的新しいドメインであることを示す証拠となります。
■Singapore Post社を偽装した偽サイト
3つ目のキャンペーンでは、Singapore Post社を偽装した偽サイトが利用されました。このキャンペーンに用いられたフィッシングメールは、ユーザが1.99シンガポールドル(約158円)の小額の料金を支払うと保留中の配送が行われるとユーザに通知しています。ところがこのメールの送信元(図16)を確認してみると、メールアドレス(club[.]vpcuk[.]org)がSingapore Post社とは無関係であることが見て取れます。決め手としては、メールの末尾に「The Australia Post team」と署名されていることです。
前述のキャンペーンと同様に、フィッシングメールはSingapore Post社のWebコンテンツを偽装した偽サイト(vs29[.]com/sgspost/manage/)に誘導します。さらに偽の配送注文情報を表示し、ユーザにカード情報を入力するよう要求してきます。
クレジットまたはデビットカード情報を入力すると偽の支払いページは無限に読み込みを続ける検証ページにユーザを誘導し、保留中の配送注文が有効でないことを示します。
■増加するフィッシング手口
サイバー犯罪者はパンデミックが始まって以来、以前よりもフィッシングの手法を多く利用しています。2020年第一四半期に確認されたフィッシングサイトの検出数と比較し、2021年に確認されたフィッシングサイトは350%も増加しています。これは、多くの国で外出を控えるために、オンラインショッピングを利用する人が増加していることが要因の一つになっていると考えられます。
本ブログ記事で取り上げたキャンペーンにおいて、サイバー犯罪者はユーザから簡単に金融情報を詐取するために偽のオンライン決済サイトの入力フォームを利用しました。この手口はパンデミックが収束した後もフィッシングサイトの新たな規範となる可能性があります。
メールアドレスやパスワードなどの認証情報を詐取するのはフィッシング詐欺の手口としてよく知られています。しかしながら、これらの手口で得られる利益はサイバー犯罪者にとって実りの少ないものとなっているようです。この理由として、人気のオンラインショッピングサイトの多くがWebサイトへの不要なアカウントログインを回避するために多要素認証の利用を推奨しているからです。
このためフィッシングの背後にいるサイバー犯罪者にとっては、認証情報を窃取する代わりにクレジットカード情報やデビットカード情報を詐取する方が容易と言えます。実際、ATMがカードレスでの引き出しに対応している場合、物理的な銀行カードを必要としません。取引を行う前にPIN番号が必要となりますが、サイバー犯罪者にとってはランダムな文字列を自動作成・入力する「総当り攻撃」を実行することで簡単に解決できる問題です。
■被害に遭わないためには
フィッシングの脅威からセキュリティ保護を維持し続けるために、ユーザはいくつかのベストプラクティスに準拠する対策を実施することが推奨されます。
- Webサイトのドメイン(URL)を確認する。通常、詐欺サイトやフィッシングサイトのドメインは、正規サービスとは関係のないランダムな英数字で構成されています(例ckconsulting[.]comやvs29[.]comなど)。
- 届いたメールやSMSは注意深く確認する。宅配の受取に関するメールやSMSが届いた場合は、受信した文章に掲載されたリンクは使用せず、郵便局や宅配会社の公式サイトを自身で検索して正当なものであるかどうかを確認しましょう。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、偽サイトなど不正な Web サイトへのアクセスをブロックします。
法人向けセキュリティ製品では、メール対策製品「Trend Micro Cloud App Security™」や「Deep Discovery™ Email Inspector」においてWebレピュテーションとURL動的解析、機械学習を使用した不審メール検出技術により、電子メールレイヤーを保護します。メッセージ本文だけでなく、添付ファイル内の不審なコンテンツを検出できます。また、サンドボックスによるマルウェア解析とドキュメントエクスプロイト検出を提供することができます。
参考記事:
- 「Cybercriminals kick-off 2021 with sweepstakes, credit card, delivery scams」
by Paul Miguel Babon (Threats Analyst), Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)