ブラジルの銀行顧客を狙ったSMSフィッシング攻撃

ブラジルのセキュリティ企業、モーファス社のリサーチディレクター、レナート・マリーニョ氏は、SMSメッセージを介して銀行の顧客を狙うブラジルの新たなフィッシング攻撃を特定した。

ブラジルの一部の銀行顧客に対し、指定されたURLから登録情報を更新するよう求めるSMSメッセージが届き始めた。メッセージには、更新しない場合、顧客の口座が凍結されると警告されていた。

リンクをクリックすると、CPF（ブラジルの社会保障番号に相当）とパスワードを入力するページが表示されます。ユーザーが情報を正しく入力できるように、攻撃者は正しいCPF形式のみを受け入れるルールをコードに組み込みました。この検証プロセスは、副作用として、ページとメッセージ自体の信頼性を高めることにも役立ちました。

その後、次のページでは、ユーザーに PIN を使用してデバイスを認証し、下の画像に示すように、すべての 2 要素認証コードが含まれるアナログ トークン カードの写真をアップロードするように求められました。

誰かがこのプロセス全体を完了すると、攻撃者は銀行の顧客を装って不正取引を開始するために必要なすべてのログイン情報にアクセスできるようになります。その後、顧客は銀行の実際のログインページに転送されますが、偽のウェブページで既にログイン情報を入力しているため、一部の顧客は戸惑うかもしれません。

フィッシング攻撃は目新しいものではありません。受信したメッセージが本当に銀行から送られたものかどうかを確認する最終的な責任はユーザーにありますが、現実には誰もがそうするとは限りません。だからこそ、銀行は設計段階からこのような攻撃に耐性のあるシステムやツールを使用することが重要です。

今回のケースでは、問題の銀行（あるいは複数の銀行）が、顧客にアナログトークンカードにハードコードされた二要素認証コードを提供していたため、攻撃の有効性に少なくとも一部責任を負っているように思われます。もし銀行が、他のより近代的な銀行のように、30秒で消えるコードを搭載したデジタルトークンデバイスを提供していたならば、攻撃者はフィッシングの手法を用いてシステムをそれほど容易に悪用することはできなかったでしょう。