Facebook Messenger で大規模フィッシング:リダイレクト料で数百万米ドルを稼いだようだ

Massive Facebook Messenger phishing operation generates millions

2022/06/08 BleepingComputer — Facebook と Messenger を悪用した大規模なフィッシング・キャンペーンが、研究者たちにより発見された。それは、数百万人のユーザーをフィッシング・ページに誘い込み、アカウント情報を入力させ、広告を表示させるというものである。このキャンペーン運営者たちは、盗んだアカウントから友人たちをたどり、さらにフィッシング・メッセージを送ることにで、オンライン広告手数料から多額の収益を得ていた。

ニューヨークに拠点を置く、AI に特化したサイバー・セキュリティ企業である PIXM によると、このキャンペーンは 2022年4月〜5月にピークを迎えたが、 2021年9月ころから活動していたとのことだ。PIXM は、特定したフィッシングページのひとつが、認証なしで一般にアクセス可能なトラフィック監視アプリ (whos.amung.us) へのリンクをホストしていたことから、脅威要因を追跡し、このキャンペーンに関するマッピングを完成させたという。

広範囲にわたる悪用

このキャンペーンが、どのように始まったのかは不明だが、PIXM によると、被害者は Facebook Messenger から発信される一連のリダイレクトにより、フィッシングのランディング・ページに到達したとのことだ。さらに多くの Facebook アカウントを窃取した脅威アクターたちは、自動化されたツールを使用して侵害されたアカウントの友人たちに、さらなるフィッシング・リンクを送信することで、乗っ取りアカウントを大幅に増加させた。

PIXM は「ユーザーのアカウントが侵害されると、おそらく自動化された方法で脅威アクターが対象アカウントにログインし、Facebook Messenger を介してユーザーの友人にリンクを送信していた」と報告している。

Facebook には、フィッシング URL の拡散を阻止するための保護手段が備わっているが、これらの保護手段を回避するためのトリックを、脅威アクターたちは使用している。フィッシング・メッセージは、litch.me/famous.co/amaze.co/funnel-preview.com といった正規のアプリが利用している、URL 生成サービスを悪用しているため、ブロックすることが困難になっている。

Some of the URLs used in the phishing campaign
フィッシング詐欺で使用された URL の一部 (PIXM)

研究者たちが、フィッシング・キャンペーンの統計ページに未認証でアクセスした後に確認したのは、いずれかのフィッシング・ポータルに、2021 年には 270 万人のユーザーがアクセスしたという事実である。そのアクセス数は、2022 年には 850万人にまで増加しており、このキャンペーが大規模化した様子を示している。

Snap from the dashboard of the analytics service
公開された分析サービスのダッシュボード (PIXM)

さらに調査を進めると、キャンペーンに悪用された 405人のユニークなユーザー名が確認され、それぞれが個別の Facebook フィッシング・ページを持っていることが分かった。それらのページビューは、わずか 4,000 から数百万まであり、最高で 600 万ページビューに達したものもあった。

Sample of the identified disemination users
特定された普及ユーザーのサンプル (PIXM)

この 405人のユーザーたちは、キャンペーンに利用されたアカウントのごく一部に過ぎないと、研究者たちは考えている。被害者がフィッシングのランディング・ページで認証情報を入力した後は、新たなリダイレクトが始まり、広告ページやアンケート・フォームなどに誘導されていく。

One of the ads the phised users end up on
ユーザーに表示されたフィッシング広告のひとつ (PIXM)

この規模から推測すると、脅威アクターたちが得る、フィッシングへのリダイレクト紹介料は数百万米ドルになると思われる。

脅威アクターの追跡

PIXM は、すべてのランディング・ページで、共通のコード・スニペットを発見した。そこには、Rafael Dorado と名乗るコロンビア人男性に対する、捜査の一環として押収された Web サイトへの参照が含まれていた。

Website belonging to the campaign operator
キャンペーン運営会社のウェブサイト

誰が、このドメインを押収し、サイトに告知を設置したのかは不明だ。Whois を逆引きしたところ、コロンビアの正規の Web 開発会社や、Facebook の「いいね!」ボット、ハッキング・サービスなどを提供する、古いサイトへのリンクが見つかった。PIXM は、この調査結果をコロンビア警察とインターポールと共有したが、特定された URL の多くがオフラインになったにもかかわらず、このキャンペーンは以前としてい進行中であると指摘している。

Facebook には、フィッシング URL の拡散を阻止するための、保護手段が備わっているようですが、脅威アクターたちは回避していくわけです。それにしても、きわめて大規模なキャンペーンであり、リダイレクトに対する報酬額も膨大です。つまり、それだけの対価を支払っても、ペイするだけの収益があるわけです。Facebook の世界でも、広告やアンケートは無視する、ミニマリストでいるほうが安全なのは、言うまでもありませんね。

%d bloggers like this: