A new phishing scam targets American Express cardholders
2022/09/04 SecurityAffairs — Armorblox の研究者たちにより、American Express 顧客をターゲットにする新たなフィッシング・キャンペーンが発見された。このフィッシング・メッセージの内容は、カード所有者を騙して、悪意の添付ファイルを開かせようとするものだ。メールの件名は「Important Notification About Your Account」となっており、受信者に開封を促そうとしている。
一旦開封すると、そのメールは American Express からの正規のメール通信として表示される。そして、その内容は、安全で暗号化されたメッセージの閲覧方法を、カード所有者に指示するものである。
Armorblox が発表した分析結果は、「添付ファイルを開くと、被害者に関連する口座について、追加の確認が必要であることを告げるメッセージが表示される。そこには、[アカウントが停止される前に確認される最後のチャンス] という文言が含まれ、緊急性が強調されている。そして、American Express によるグローバル・アップデートの一部として必要な、1回限りの検証プロセスを完了するよう被害者に促す」というものだ。
メッセージ内のリンクをクリックすると、被害者は偽の American Express ログイン・ページへとリダイレクトされるが、そこには American Express ロゴが示され、アプリをダウンロードするためのリンクが含まれている。
このページでは、ユーザー ID とパスワードの入力が要求される。
このフィッシング・キャンペーンは、DKIM (Domainkeys Identified Mail) と SPF (Sender Policy Framework) の両方のメール認証を通過するため、Google Workspace のネイティブ・メール・セキュリティ制御の回避が可能となっている。
キャンペーンの背後にいる脅威アクターは、この悪意のメールを送信するための有効なドメインを使用しており、送信者が使用したドメインの評価スコアは「信頼できる」であり、グローバル脅威履歴のセキュリティ・イベントは「ゼロ」となっている。このフィッシング・メールは、Google により安全であるとマークされ、16,000人以上のユーザーのアドレスに配信された。
以下は、Armorblox が提供するフィッシング・メールを特定するための推奨事項である。
- 電子メールのセキュリティを強化する。
- ソーシャル・エンジニアリングの手がかりに注意する。
- 多要素認証とパスワード管理のベストプラクティスを実践する。
この記事を読むと、 巧妙な手口と高度な技術レベルが、両立している脅威グループの仕業に思えてきます。しかし、2022年1月19日の「Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進」や、8月8日の「Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供」などを読むと、サーバー犯罪を実行する際の参入障壁が、かなりのスピードで引き下げられているという、新たな時代に突入していることも実感できます。
IoT OT Security News 
You must be logged in to post a comment.