American Express 顧客を狙うフィッシング・メール:Google Workspace の検出を回避

A new phishing scam targets American Express cardholders

2022/09/04 SecurityAffairs — Armorblox の研究者たちにより、American Express 顧客をターゲットにする新たなフィッシング・キャンペーンが発見された。このフィッシング・メッセージの内容は、カード所有者を騙して、悪意の添付ファイルを開かせようとするものだ。メールの件名は「Important Notification About Your Account」となっており、受信者に開封を促そうとしている。

一旦開封すると、そのメールは American Express からの正規のメール通信として表示される。そして、その内容は、安全で暗号化されたメッセージの閲覧方法を、カード所有者に指示するものである。


Armorblox が発表した分析結果は、「添付ファイルを開くと、被害者に関連する口座について、追加の確認が必要であることを告げるメッセージが表示される。そこには、[アカウントが停止される前に確認される最後のチャンス] という文言が含まれ、緊急性が強調されている。そして、American Express によるグローバル・アップデートの一部として必要な、1回限りの検証プロセスを完了するよう被害者に促す」というものだ。

メッセージ内のリンクをクリックすると、被害者は偽の American Express ログイン・ページへとリダイレクトされるが、そこには American Express ロゴが示され、アプリをダウンロードするためのリンクが含まれている。

America Express 2


このページでは、ユーザー ID とパスワードの入力が要求される。

このフィッシング・キャンペーンは、DKIM (Domainkeys Identified Mail) と SPF (Sender Policy Framework) の両方のメール認証を通過するため、Google Workspace のネイティブ・メール・セキュリティ制御の回避が可能となっている。

キャンペーンの背後にいる脅威アクターは、この悪意のメールを送信するための有効なドメインを使用しており、送信者が使用したドメインの評価スコアは「信頼できる」であり、グローバル脅威履歴のセキュリティ・イベントは「ゼロ」となっている。このフィッシング・メールは、Google により安全であるとマークされ、16,000人以上のユーザーのアドレスに配信された。 

以下は、Armorblox が提供するフィッシング・メールを特定するための推奨事項である。

  • 電子メールのセキュリティを強化する。
  • ソーシャル・エンジニアリングの手がかりに注意する。
  • 多要素認証とパスワード管理のベストプラクティスを実践する。

この記事を読むと、 巧妙な手口と高度な技術レベルが、両立している脅威グループの仕業に思えてきます。しかし、2022年1月19日の「Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進」や、8月8日の「Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供」などを読むと、サーバー犯罪を実行する際の参入障壁が、かなりのスピードで引き下げられているという、新たな時代に突入していることも実感できます。

%d bloggers like this: