Facebook ビジネスページでデータ収穫:インタラクティブで本物に見えるフィッシングの新常識とは?

Facebook Business Pages Targeted via Chatbot in Data-Harvesting Campaign

2022/06/29 DarkReading — Facebook のアカウント情報/電話番号の窃取を目的とした、ソーシャル・エンジニアリング攻撃が、Facebook Messenger チャットボット機能を組み込んだ巧妙な手段で、ビジネス・ページを標的にしている。Trustwave SpiderLabs の Senior Security Research Manager である Karl Sigler は、「この攻撃は、そのインタラクティブ性で注目されており、ソーシャル・エンジニアリングのフィッシング攻撃が、いかに複雑になっているかを示している」と、Dark Reading に対して語っている。


Sigler は、「ユーザーは、リンクをクリックすると、実行ファイルをダウンロードするように促される。大半の人々は、それが攻撃であることを理解してクリックしないだろう。しかしこの攻撃では、技術サポートに必要な情報を求める、技術サポートタイプのチャンネルに誘導される。この種の攻撃では、ソーシャル・エンジニアリングの側面を強化することは、比較的新しいことである」と同氏は述べている。

インタラクティブで本物に見える:フィッシングの新常識

Trustwave の調査によると、この攻撃は、よくある攻撃の手法と同じように、Eメールから始まる。このメールでは、「Facebook のコミュニティ基準に違反したため、48時間以内にユーザーページが削除される」という主張が展開される。Facebook はルール違反者の取り締まりを強化していることから、これは巧妙な誘い文句であると、研究者たちは指摘している。

Facebook のサポートチームを装った送信者は、サポートチームへの問い合わせと称し、メールから直接クリックできる「Appeal Now」ボタンを提示する。ユーザーが、そのボタンにマウスを乗せると、Meta の正規の URL 短縮サービス m.me で生成された URL が表示され、クリックすると、チャットボットとの Messenger での会話へと移行する。

このチャットボットは、Facebook のサポートチームの代表であると偽り、ユーザーに別の「Appeal Now」ボタンを提示する。そのボタンに埋め込まれたリンクは、ユーザーを Google Firebase でホストされた Web サイトへと移動させる。

火曜日のレポートで Trustwave は、「Firebase は開発者に対して、アプリの構築/改善/発展を支援する各種ツールを提供する、アプリケーション開発ソフトウェアであり、誰もが簡単に Web ページを作成/公開できるようにする。スパム送信者は、これを悪用し、ユーザーが自分のページの削除停止を訴えることができると称する、Facebook の Support Inbox を装った Web サイトを構築した」と述べている。

被害者たちは、この Web サイトで、Eメールアドレス/携帯電話番号/氏名/自身のページ名を入力するよう求められる。最初のテキストボックスで電話番号を入力しているにもかかわらず、電話番号を入力するテキストボックスがもう一つ表示されている。Submit ボタンを押すと、パスワードを求めるポップアップウィンドウが表示される。

もちろん、これらのデータは全て、攻撃者のデータベースに直接送信される。

この攻撃チェーンで、最後に提示されるリンクには、二要素認証に見せかけた手法が用いられている。ユーザーは、コードを求めるポップアップ・ボックスを提示され、ワンタイムパスワードを送信せよ言われる。このトリックも、すでに攻撃者が、被害者の Eメールアドレスと電話番号を取得しているため、実行可能なのである。

そして最後に、このページは実際の Facebook ヘルプセンターへ、リダイレクトされる。

フィッシングにおける信頼性の向上

この攻撃が効果的な理由の一つとして挙げられるのは、最近のデジタル・マーケティング/ライブサポートにおいて、チャットボットが一般的な機能であり、一見すると本物のように見えるソースから送られるものに対して、人々は疑いを持たないという現実である。

Sigler は、「この攻撃では、正規の Facebook のチャットが使用されている。攻撃者から送られたメール内のリンクをクリックすると、実際の Facebook に移動する。上部に自分のアカウント・プロフィールが表示されるため、それが Facebook であることがわかる。サポートページには Page support と書かれており、ケースナンバーが表示されている。多くの人がフィッシングを識別するために設けている障壁を壊すには、これだけで十分なことが多い」と述べている。

また、Sigler は、「このような攻撃は、標的型攻撃として非常に有効であり、また、ビジネス・ページのオーナーにとって極めて危険である。ある組織が Skype/Teams/Signal といった、特定のメッセージング・クライアントを標準化していることが分かれば、そのプラットフォームに特化した攻撃を開始できる。サイバー犯罪者は、Facebook の認証情報と電話番号を使って、ビジネスユーザーに多大な損害を与えることができる」と述べている。

彼は、「SNS 担当者が、この種の詐欺に引っかかった場合には、突然、企業ページ全体が改ざんされる可能性がある。さらには、企業ページへの不正アクセスを利用して、また、Facebook の正当性を利用して、顧客に直接アクセスできるようになる可能性もある。さらに、ネットワークへのアクセスやデータも狙われるだろう」とも付け加えている。

フィッシング対策に有効なユーザー意識向上トレーニング

Sigler は、「このような攻撃を広めるために、有効なインフラを使用することが、今後のフィッシングの動向を示している。この種の攻撃では、多くの場合、たとえば Facebook のように見えるクローンサイトや、タイポスクワット・ドメインが使用される。しかし、今回のケースでは、実際の Facebock が使用されていた。今後も、従来からある正当なソースから攻撃が行われる傾向は続くと思われ、これらの攻撃を見分けることは、正当なソースの上に乗っかっているため、ますます難しくなるだろう」と指摘している。

とはいえ、この特定の攻撃においても、疑わしいと思える点があったことは注目に値する。たとえば、攻撃者からのメールには、Page という単語の大文字が不適切であったり、第3文の末尾にピリオドがないなど、文法的な問題があった。

また、メールのヘッダーに送信者 Policy Issues と表示されているが、送信者ドメインは Facebook に属していない。さらに、メールの受信ヘッダーと送信者の IP アドレスからも、このメールが Facebook から送信されたものではないことがわかる。

さらに言えば、Facebook のサポートページと称する、ユーザーが誘導されるページにも不自然な点がある。

Trustwave のレポートでは、「このページ所有者の、プロフィールを詳しく調べたところ、実際のサポートページではないことがわかった。使用されているプロフィールは、フォロワーも投稿もない普通のビジネス/ファンページだった。このページは使われていないように見えても、Facebook が『応答率 90%、15分以内に応答する』と定義している Very Responsive バッジが付いていた。さらに、Messenger のロゴをプロフィール画像として使用し、正規のものに見えるようにしていた」と述べている。

Sigler は、「この種の攻撃は、私から見ると少し不器用で、不審な点があるので多くの人が見破ると思うが、今後の彼らはもっと巧妙になっていくだろう。したがって、最善の防御は、ユーザーの対フィッシング・トレーニングに注力することである」と提唱している。

彼は、「95%以上のセキュリティ侵害は、誰かがフィッシング・メールの偽リンクをクリックすることから始まっている。この種の攻撃に対処するために、唯一できることは、ユーザーを教育することだ。そこで、セキュリティ啓発プログラムを再検討し、フィッシング攻撃について、現時点で従業員やユーザーに教えている内容を確認し、それが最新のものであるか/より複雑な攻撃への対策を含んでいるかを、確認することが重要である」と述べている。

人の心理の弱点をつくという意味では、6月26日の「LockBit の最近の戦術:著作権違反を主張する偽のメールに御用心」に似ていますね。どちらも、個人的なものではなく、職務上の責任感をつくという意味で同じです。この記事にあるように、正規のサービスから突然に、しかも理不尽な要求を突きつけられたときには、その理由を一人で調べようなどとは思わず、まずは誰かに相談すべきです。そのときに、自分の抱いている疑念を正確に伝え、別の経路でサービサーに連絡を取り、問題を解決すべきです。この手のフィッシングは増えてくると思いますので、なんらかの対応マニュアルなどを準備すべきなのかもしれません。

%d bloggers like this: