データセキュリティ企業Impervaは、 1000種類以上のフィッシングキットを分析し、フィッシングがインターネットユーザーに与える影響に関する新たなレポートを発表しました。レポートによると、フィッシングキットの半数は単一のキットファミリーに属しており、また、ほとんどのキットは、他の攻撃者に販売または貸し出されているにもかかわらず、第三者(おそらく作成者)に報告されていることが明らかになりました。Impervaはまた、フィッシングキットの作成者が必ずしも「顧客」に対して親切に接しているわけではないことも発見しました。
フィッシング業界
Verizonの2017年データ漏洩調査によると、企業のデータ漏洩の81%は、盗難された認証情報や脆弱なパスワード、あるいはその両方を悪用しています。Impervaはまた、かつては比較的小規模だったハッカーのフィッシングの世界が、今や本格的な産業へと変貌を遂げていると指摘しています。
今日では、「DIY(Do-It-Yourself)」キットを使ってフィッシングツールを構築することがはるかに容易になっています。さらに、フィッシングキットのビジネスモデルも進化しています。Impervaは、サイバー犯罪のアンダーグラウンドの世界では、あらゆる目的とあらゆるコストでフィッシングキットが見つかるようになっていることを発見しました。
中には無料で配布されているものもありますが、皮肉なことに、セキュリティ企業はこれらの多くにバックドアが組み込まれていることを突き止めました。こうして、キットのユーザーが企業やインターネットユーザーから窃取する情報から、元の作者も利益を得ることができます。キットの作者は、経験の浅いハッカーの成果を活用すれば、リスクを軽減し、ROI(投資収益率)を向上させることができます。
フィッシング攻撃の流れ
標準的なフィッシング攻撃には次のようなものが含まれます。
- 攻撃者は侵入したサーバーを購入し、そこにフィッシングツールをアップロードする
- その後、スパムサービスを利用してフィッシングメールを大量に送信します。
- 被害者の中には、攻撃者が提供したログインページが本物のページではないことを知らずに、ログインページに認証情報を入力する人もいる。
- フィッシングキットは収集した認証情報を攻撃者のメールアドレスに送信する。
- 攻撃者は盗んだ資格情報を利用する
フィッシングキット分析
Impervaは、2つのソースから1,019個のフィッシングキットを収集し、分析することができました。1つはTechHelpList.com(長期間使用されているフィッシングキットのリストを入手)で、もう1つはOpen Phishフィード(実際のキャンペーンで使用されている最新のキットを入手)です。これは、攻撃者が被害者の認証情報を取得した後、フィッシングキットをサーバーから削除し忘れることが多いためです。
フィッシング キットは通常、2 種類のファイルで構成されています。1 つは、被害者に実際のアカウントにログインしていると信じ込ませるために元のページを複製するために必要なリソース ファイル、もう 1 つは、電子メールとパスワードを収集して攻撃者に送信するスクリプトです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Impervaの分析によると、攻撃者の98%は収集した認証情報を53のドメイン(最も頻繁に使用されているのはGmail)に属するメールアドレスに送信し、残りの攻撃者は認証情報を自身のサーバーに直接保存していました。攻撃者の25%が気づいていなかった可能性があるのは、盗んだ認証情報が、フィッシングキットの作成者が所有しているとImpervaが推測する他の事前定義されたメールアドレスにも送信されていたことです。これらの事前定義されたメールアドレスは通常、難読化されていました。
不要な訪問者をブロックする
Imperva は、多くのキットが、IP ブラックリスト、ボットによるインデックス作成をブロックする txt ファイル、リモート IP がサイトへのアクセスを許可されているかどうかを確認する PHP スクリプトなど、さまざまな手法を使用して、サーバーがフィッシングに使用されていることを隠していることを発見しました。
これらのキットにはブラックリストを回避するメカニズムも含まれており、被害者を送信するための新たなランダムな場所を生成していました。この手法により、攻撃者はキットがISPや各種サービスのブラックリストに追加されるのを隠蔽することができます。
ロールベースのエコシステム
Imperva は、フィッシングは以前よりもはるかに利益追求型になっており、業界では複数の行為者がさまざまな役割を担っていると述べてレポートを締めくくった。
作成者は一般的にこの分野のベテランであり、キットの作成と販売、あるいは無料提供に固執し、他の「ビジネスモデル」で収益を得ている傾向があります。一方、キャンペーン活動者、つまり攻撃を実行する側は、フィッシングによる収益の最大化に注力し、技術的な詳細は作成者に任せています。しかし、新進気鋭のサイバー犯罪者がフィッシングのベテランに技術的な詳細を任せてしまうと、彼らに騙されるリスクも高まります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
