PayPal を装う新たなフィッシング・キット:狡猾な手口で個人情報を抜き取る

PayPal phishing kit added to hacked WordPress sites for full ID theft

2022/07/14 BleepingComputer — PayPal ユーザーを標的とした新たなフィッシング・キットにより、政府発行の身分証明書や写真などの、大量の個人情報を盗み出そうとするアクティビティが発見された。現時点において、4億人以上の個人および企業が、オンライン決済ソリューションとして PayPal を使用している。このキットは、ハッキングした正規の WordPress Web サイトをホストとしているため、ある程度は検出を回避することが可能である。

ブルートフォースで脆弱 Web サイトへ侵入

インターネット・テクノロジー企業である Akamai の研究者たちが、このフィッシング・キットを発見したのは、脅威アクターが自身の WordPress ハニーポットにフィッシング・キットを仕込んだ後のことである。

脅威アクターたちは、セキュリティが不十分な Web サイトをターゲットにし、オンラインで見つかった一般的なクレデンシャルのペア・リストを用いて、ブルートフォースでログインする。 このアクセス権を使用して、ファイル管理プラグインをインストールし、侵入したサイトにフィッシング・キットをアップロードできるようにする。

Installing the malicious plugin
Installing the file management plugin (Akamai)

アカマイは、フィッシング・キットが検知を回避するために使用する方法のひとつに、サイバーセキュリティ業界の組織を含む特定の企業群に属するドメインと IP アドレスを相互参照することがあることを発見しました。

Performing a site check
Performing a site check (Akamai)

正規のページに見える

研究者たちは、このフィッシング・キットの作者が、不正なページをプロフェッショナルなものに見せかけるために、オリジナルの PayPal サイトを可能な限り模倣するよう努力していることに気づいた。

その一つは、PHP ファイルの拡張子で終わらないように、htaccess を用いて URL を書き換えている点である。これにより、よりクリーンで洗練された外観になり、見かけの正当性が増していく。

Rewriting URL to remove php ending
Rewriting URL to remove php ending (Akamai)

また、フォーム内の全ての GUI 要素は、PayPal のテーマを摸倣しているため、フィッシングページは本物であるかのような外観になっている。

データ窃取プロセス

被害者の個人情報を盗むために、まず CAPTCHA を提示し、正当であると誤認させることを始める。

Bogus CAPTCHA step on the phishing site (Akamai)

この段階の後に、被害者は Eメールアドレスとパスワードを使用して、PayPal アカウントにログインするよう求められるが、この Eメールアドレスとパスワードは、脅威アクターへ向けて自動的に配信されることになる。

しかし、これだけではない。被害者のアカウントに関連する異常な活動を装って、さらなる検証情報を、脅威アクターは求める。

Warning about unusual account activity
Warning about unusual account activity (Akamai)

その後のページで、被害者に要求されるのは、カード認証コード/住所/社会保障番号/母親の旧姓/支払カードのデータなどの、数多くの個人情報および財務情報を提供である。

このフィッシング・キットは、すべての個人情報を、被害者から搾取するために作られたようだ。一般的なフィッシング詐欺で収集されるカード情報とは別に、このキットでは社会保障番号/母親の旧姓/ATM 機のカード PIN 番号も要求している。

More info collected
More info collected (Akamai)

これだけの情報を集めるのは、フィッシング詐欺の常套手段ではありません。しかし、このキットはさらに踏み込んで、Eメールアカウントを PayPal にリンクさせるよう被害者に要求している。これにより、攻撃者は提供された Eメールアドレスのコンテンツにアクセスするためのトークンを得ることになる。  

Phishing email accounts
Phishing email accounts (Akamai)

膨大な量の個人情報を収集したにもかかわらず、脅威アクターの要求は終わらない。次のステップでは、本人確認のために、公的な身分証明書をアップロードするよう被害者に要求している。

アップロードを要求される書類は、パスポート/国民 ID/運転免許証のいずれかであり、PayPal や正規のサービスがユーザーに求めるのと同じように、アップロード手順には具体的な指示が添えられている。

Instructions on how to upload documents
Instructions on how to upload documents (Akamai)

サイバー犯罪者たちは、これらの情報を利用して、マネーロンダリング (暗号通貨取引口座の開設など) や、サービス購入時の匿名性保持に関連した個人情報の窃盗から、銀行口座の乗っ取りや決済カードのクローンにいたるまで、さまざまな違法行為に引き起こす可能性がある。

Akamai は、「政府が発行する公式書類をアップロードし、それを確認するために自撮りすることは、クレジットカード情報の紛失以上に、被害者にとって大きな問題となる。これらの口座は資金洗浄/脱税に利用され、また、他のサイバー犯罪のための匿名性確保のために利用される可能性がある」と述べている。

このフィッシング・キットは一見巧妙に見えるが、研究者たちはファイル・アップロード機能に脆弱性があることを発見した。それを利用すれば、Web シェルのアップロードが可能となり、侵害された Web サイトを制御できることが示されている。

要求される情報が膨大であることから、一部のユーザーにとっては、この詐欺を見破ることが容易だと思われる。しかし Akamai の研究者たちは、この特定のソーシャルエンジニアリングの要素が、このキットを成功に導いていると考えている。

研究者たちは、「最近では身元確認は普通のことであり、それは複数の方法で行うことができる。最近では、人々はブランドや企業への信頼を、そのセキュリティ対策で判断している」と述べている。

キャプチャ・チャレンジの使用は、追加の検証が必要になることを最初から提示している。つまり、正規のサービスと同じ方法を用いることで、脅威者は被害者の信頼を確固たるものにしている。

ユーザーに対して推奨されるのは、機密情報を要求するページのドメイン名の確認である。また、ブラウザに手動で入力し、サービスの公式ページにアクセスすることで、本人確認が行われているかどうかを確認することが可能だ。

PayPal の本質は、クレジットカード情報をユーザーから預かり、それをショップに知らせることなく、決済を完了させるところにあります。したがって、脅威アクターたちの大きな標的になることも当然であり、このようなハイ・クオリティ・アタックが登場するのも頷ける話です。それにしても、執念を感じてしまう攻撃手法ですね。よろしければ、5月23日の「PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる」も、ご参照ください。

%d bloggers like this: