Office 365 phishing attack impersonates the US Department of Labor
2022/01/19 BleepingComputer — 米国労働省 (Department of Labor) を装う新たなフィッシング・キャンペーンが、偽の入札を依頼するという手口で、受信者 から Office 365 の認証情報を盗もうとしている。このフィッシング・キャンペーンは、数ヶ月前から行われており、政府機関を装う 10以上のフィッシン・グサイトが利用されている。
なりすましアドレスとサーバーの不正利用
メールセキュリティ企業の INKY が公開したレポートでは、このフィッシング攻撃が認証情報を盗む方法が、研究者たちにより説明されている。一連の電子メールは、実際の労働省 (DoL) のサイトから送られてきたように見える、偽装ドメインから送信されている。その中には、以下のような新たに作成された偽ドメインのセットをベースにしたものもある。
- DOL-GOV[.]COM
- DOL-GOV[.]US
- bids-dolgov[.]us
ほとんどのフィッシング・メールは、メールセキュリティ・ブロックを回避するために、非営利団体が所有するサーバーを経由している。また、新たに登録されたドメインや、フィッシング対策リストに登録されていないドメインを経由して、送信されることもある。送信者は、米国防総省の上級職員を装い、進行中の政府プロジェクトの入札に参加するよう受信者に呼びかけている。
それらの電子メールは、有効なレターヘッドと、専門的にアレンジされたコンテンツで構成され、正式なフォームに見える3ページ分の PDF が添付されている。この PDF には「BID」ボタンが含まれており、このボタンをクリックすると、被害者はいずれかのフィッシング・サイトにアクセスすることになる。INKY では、このキャンペーンの一環として、以下のランディング・ページを確認しています。 - opendolbid[.]us
- usdol-gov[.]com
- bid-dolgov[.]us
- us-dolbids[.]us
- dol-bids[.]us
- openbids-dolgov[.]us
- open-biddolgov[.]us
- openbids-dolgov[.]com
- usdol-gov[.]us
- dolbids[.]com
- openbid-dolgov[.]us
- dol[.]global
これら偽装サイトは、本物のサイトと同じ HTML と CSS を含んでおり、説得力がある。脅威アクターたちは、入札 (フィッシング) プロセスにおいて被害者を誘導する、指示ポップアップ・メッセージも作成している。プロジェクトに入札した人は、Microsoft Office 365 のメールアドレスとパスワードをターゲットにした、クレデンシャル・ハーベスティング・フォームへと移動させられる。
ここでは何を入力しても、Web サイトは偽のエラーを繰り返して返被害者を騙し、再入力させることで、誤入力した認証情報を取得する可能性を低くしている。この罠に繰り返して騙された被害者は、最終的に実際の DoL のサイトに誘導され、何が起こったのかを示す証拠はほとんど残されない。
同様のキャンペーンが増加中
今回のキャンペーンでは、説得力のある Web ページの設定や、エラーを起こさないフィッシング・メールの作成など、その精巧さと勤勉さ注目されるところだ。2021年12月にも、Pfizer になりすましたフィッシング詐欺師が、巧妙に作成された PDF 添付ファイルを使って、製薬会社への入札を促すという同様の事例があった。今回のケースでは、さらに一歩進んで、正規のメールサーバーを悪用して、フィッシングの誘い文句を送信している。
残念なことに、メールの受信者に残された証拠は、彼らの手口を示すには微細なものであるため、最大限の警戒が必要となる。今回のケースでは、労働省が文書を閲覧するために、Office 365 の認証情報でのログインを要求している点が、詐欺であることを示す最も明白な兆候である。しかし、それらは、米国政府の Web サイトではない。
2021年12月21日に「ゼロトラストを成功させる秘訣:従業員を信頼することから考えるべきだ」という記事をポストしました。そこには「見知らぬ人から送られてきたファイルやリンクを開くことは、特にリクルート/セールス/カスタマー対応などの職務においては、仕事の一部になることが多いからだ」という一文があり、記憶に焼き付いています。そして、入札という仕組みですが、そこに参加することが職務になっている人が必ずいて、そこを狙うフィッシングなのでしょう。弱点を鋭く突いてきますね。