PayPal phishing kit added to hacked WordPress sites for full ID theft
2022/07/14 BleepingComputer — PayPal ユーザーを標的とした新たなフィッシング・キットにより、政府発行の身分証明書や写真などの、大量の個人情報を盗み出そうとするアクティビティが発見された。現時点において、4億人以上の個人および企業が、オンライン決済ソリューションとして PayPal を使用している。このキットは、ハッキングした正規の WordPress Web サイトをホストとしているため、ある程度は検出を回避することが可能である。
ブルートフォースで脆弱 Web サイトへ侵入
インターネット・テクノロジー企業である Akamai の研究者たちが、このフィッシング・キットを発見したのは、脅威アクターが自身の WordPress ハニーポットにフィッシング・キットを仕込んだ後のことである。
脅威アクターたちは、セキュリティが不十分な Web サイトをターゲットにし、オンラインで見つかった一般的なクレデンシャルのペア・リストを用いて、ブルートフォースでログインする。 このアクセス権を使用して、ファイル管理プラグインをインストールし、侵入したサイトにフィッシング・キットをアップロードできるようにする。

アカマイは、フィッシング・キットが検知を回避するために使用する方法のひとつに、サイバーセキュリティ業界の組織を含む特定の企業群に属するドメインと IP アドレスを相互参照することがあることを発見しました。

正規のページに見える
研究者たちは、このフィッシング・キットの作者が、不正なページをプロフェッショナルなものに見せかけるために、オリジナルの PayPal サイトを可能な限り模倣するよう努力していることに気づいた。
その一つは、PHP ファイルの拡張子で終わらないように、htaccess を用いて URL を書き換えている点である。これにより、よりクリーンで洗練された外観になり、見かけの正当性が増していく。

また、フォーム内の全ての GUI 要素は、PayPal のテーマを摸倣しているため、フィッシングページは本物であるかのような外観になっている。
データ窃取プロセス
被害者の個人情報を盗むために、まず CAPTCHA を提示し、正当であると誤認させることを始める。

この段階の後に、被害者は Eメールアドレスとパスワードを使用して、PayPal アカウントにログインするよう求められるが、この Eメールアドレスとパスワードは、脅威アクターへ向けて自動的に配信されることになる。
しかし、これだけではない。被害者のアカウントに関連する異常な活動を装って、さらなる検証情報を、脅威アクターは求める。

その後のページで、被害者に要求されるのは、カード認証コード/住所/社会保障番号/母親の旧姓/支払カードのデータなどの、数多くの個人情報および財務情報を提供である。
このフィッシング・キットは、すべての個人情報を、被害者から搾取するために作られたようだ。一般的なフィッシング詐欺で収集されるカード情報とは別に、このキットでは社会保障番号/母親の旧姓/ATM 機のカード PIN 番号も要求している。

これだけの情報を集めるのは、フィッシング詐欺の常套手段ではありません。しかし、このキットはさらに踏み込んで、Eメールアカウントを PayPal にリンクさせるよう被害者に要求している。これにより、攻撃者は提供された Eメールアドレスのコンテンツにアクセスするためのトークンを得ることになる。

膨大な量の個人情報を収集したにもかかわらず、脅威アクターの要求は終わらない。次のステップでは、本人確認のために、公的な身分証明書をアップロードするよう被害者に要求している。
アップロードを要求される書類は、パスポート/国民 ID/運転免許証のいずれかであり、PayPal や正規のサービスがユーザーに求めるのと同じように、アップロード手順には具体的な指示が添えられている。

サイバー犯罪者たちは、これらの情報を利用して、マネーロンダリング (暗号通貨取引口座の開設など) や、サービス購入時の匿名性保持に関連した個人情報の窃盗から、銀行口座の乗っ取りや決済カードのクローンにいたるまで、さまざまな違法行為に引き起こす可能性がある。
Akamai は、「政府が発行する公式書類をアップロードし、それを確認するために自撮りすることは、クレジットカード情報の紛失以上に、被害者にとって大きな問題となる。これらの口座は資金洗浄/脱税に利用され、また、他のサイバー犯罪のための匿名性確保のために利用される可能性がある」と述べている。
このフィッシング・キットは一見巧妙に見えるが、研究者たちはファイル・アップロード機能に脆弱性があることを発見した。それを利用すれば、Web シェルのアップロードが可能となり、侵害された Web サイトを制御できることが示されている。
要求される情報が膨大であることから、一部のユーザーにとっては、この詐欺を見破ることが容易だと思われる。しかし Akamai の研究者たちは、この特定のソーシャルエンジニアリングの要素が、このキットを成功に導いていると考えている。
研究者たちは、「最近では身元確認は普通のことであり、それは複数の方法で行うことができる。最近では、人々はブランドや企業への信頼を、そのセキュリティ対策で判断している」と述べている。
キャプチャ・チャレンジの使用は、追加の検証が必要になることを最初から提示している。つまり、正規のサービスと同じ方法を用いることで、脅威者は被害者の信頼を確固たるものにしている。
ユーザーに対して推奨されるのは、機密情報を要求するページのドメイン名の確認である。また、ブラウザに手動で入力し、サービスの公式ページにアクセスすることで、本人確認が行われているかどうかを確認することが可能だ。
PayPal の本質は、クレジットカード情報をユーザーから預かり、それをショップに知らせることなく、決済を完了させるところにあります。したがって、脅威アクターたちの大きな標的になることも当然であり、このようなハイ・クオリティ・アタックが登場するのも頷ける話です。それにしても、執念を感じてしまう攻撃手法ですね。よろしければ、5月23日の「PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる」も、ご参照ください。

You must be logged in to post a comment.