無防備なユーザからApple IDを盗み出すためAES(Advanced Encrypted Standard)で暗号化されたフィッシングサイトがサイバー犯罪者によって設計されました。
4月30日、トレンドマイクロ社の研究員がフィッシングを検知しました。発端はAppleから発信されたかのように見える一通のメールでした。メールには受信者に対し「異常なアクティビティ」が検知されたので、Appleはアカウントへのアクセスを制限したとあり、その問題を解決するために支払い情報の更新をするよう要求するものでした。
Appleを騙ったフィッシングメール(資料提供:トレンドマイクロ社)
言うまでもなく、これは偽の通知です。メール本文の「支払い情報詳細を更新」ボタンを押すと、Appleのログインページのようなサイトにつながります。オフラインになる前に、ウェブサイトは無害化された次のリンク先に移動します。hxxp://avtive1s[.]beget[.]tech/limited/apple-couzin/apple%20couzin/Uu4gX/login.php?sslmode=true&access_token=1SGMm8LG43m4qPGE7D8Q00qCRZ2hwIVyBBkYK6FP91UzQBeYemPenfQeeTwLCrjd3EcNKRDUTxuJ8IIm.
ユーザーがログインしようとすると、フィッシングサイトは、ユーザーに対し「異常なアクティビティのためにAppleはアカウントを一時停止しています」、と伝えます。そして何も疑わないユーザの個人情報やクレジットカード情報を盗むために設計された、完成度の高いWebページに移動します。欲しい情報を全部取り出すと、サイトは被害者を「ログアウト」し、実際のAppleのページに移動させます。
Apple ID窃盗の企てはこれが初めてではありません。しかし今回特徴的だったのは、「login.php」、「process.php」、「verified.php」というコードを組み込み、独自変数を用いたJavaScriptベースのAES暗号化が使用されたことです。
悪質なペイロードを隠すために設計されたAES暗号化(資料提供:トレンドマイクロ社)
トレンドマイクロのインドリフ・カラゼク研究員は、AES暗号化がフィッシングに使用されたことの意味について詳しく説明しました。
「これはネットワーク上のパケット検査では悪質なものと識別されません、というのもペイロードは暗号化によって隠されているからです。この脅威を見抜く唯一の方法は、悪質な送信者を特定するレピュテーションサービスを使用することです。AESを使用するこの独特のフィッシング詐欺は、悪質なアクティビティの特定が困難になります。このフィッシングサイトは様々なベンダーが提供している家庭・職場向けのアンチウイルスソリューションに組み込まれているアンチフィッシングツールのいくつかを回避してしまうのです。」
AESによって護られたウェブサイトは、確かにサイバー犯罪者が自動化されたメールセキュリティをかいくぐるのに役立ちますが、正しい知識を持つユーザーに対してはほとんど何も出来ません。つまり、ユーザーは最も良く使われるフィッシング攻撃について、理解を深めておくべきです。こういった知識があれば、緊迫した状況と怪しげな説明を用いて受信者を疑わしいドメインに移動させるメールを警戒するようになるでしょう。
