Netflix Phishing Emails Surge 78%
2022/11/18 InfoSecurity — Egress のセキュリティ研究者たちは、Netflix になりすましたメール攻撃が 10月以降に 78%増加しており、企業アカウントが危険にさらされる可能性があると警告している。このようなキャンペーンから生じる懸念は、Netflix のような個人のアカウントと仕事のアカウントで、従業員たちが同じ認証情報を使用している場合に、企業のシステムやデータを危険にさらさる可能性にあると、Egress は指摘している。
同社によると、このキャンペーンの背後にいるグループは、従来のアンチフィッシング・フィルターの NLP (Natural Language Processing) スキャンを、Unicode 文字を用いて回避しているという。
Egress は、「Unicode は、ブラウザ内で言語を変換するのに役立つ。しかし各国の言語を利用して、偽の URL を本物の URL のように見せる、視覚的な成りすましにも悪用できる。たとえば、”xn-pple-43d.com: というフィッシング・ドメインを登録すると、ブラウザは “аpple.com” と翻訳してしまう。それはホモグラフ攻撃と呼ばれるものだ」と詳述している。
Netflix や help desk などにおける送信者の表示名にも、Unicode が使用されている。しかし、脅威アクターに狙いは、それだけに留まらない。
Egress は、「その他の難読化テクニックとして挙げられるのは、識別不可能な文字によるテキストの分断や、白地に白のテキストの使用、異なる言語文字の使用による NLP 妨害などである。その他にも、たとえば、”V” を2つ並べて使うと、機械は “V” が2つあると認識する。しかし、流し読みをするユーザーにとっては、”VV” は “W” にも見える」と続けている。
脅威アクターたちは、これらのテクニックを用いると同時に、ユーザーを急がせたり、時事問題に便乗するなどの、古典的なソーシャル・エンジニアリングの手口も使用している。Egress が発見したメールの半数以上 (52%) が、この種の誘い文句を使用しており、それらには、”Netflix の解約確認” や ”$0.99 で無制限会員になる” などの件名も含まれているという。
このキャンペーンは、主に米国/英国のユーザーをターゲットにしているようだ。
Egress は、「企業として懸念すべきことは、従業員の認証情報を盗用され、同一あるいは酷似したパスワードが、仕事用のアカウントでも使用されているデースである。また、攻撃者が 24時間のニュース・サイクルを武器にして、新たな標的型攻撃を仕掛けてくることに、組織と個人の両方が注意する必要がある」と結論付けている。
同社は、「これらの攻撃は巧妙であり、トレーニングや人間の目だけに頼っているだけではだめだ。高度なフィッシング対策ツールの必要性が、さらに浮き彫りになった」と述べている。
クレデンシャル・スタッフィング攻撃に用いる、ID/PW 収穫のためのサイトとして、Netflix が狙われるというのは、とても信憑性のある話だと思います。9月21日の「Okta 報告:全ログイン試行の 34%を占めるクレデンシャル・スタッフィングの猛攻」には、この種の攻撃が 2022年 Q2 に流行したと記されています。また、10月21日の「RockYou2021 にエントリーされる 84億のパスワード:攻撃で悪用される 50万のパスワードとの関係は?」には、すでにクラックされている ID/PW のセットが、膨大なものになっていることが記されています。そして、クラックされた ID/PW を狙う AiTM 攻撃などにより、Cookie 窃取と MFA バイパスへの道が開かれます。
IoT OT Security News 
You must be logged in to post a comment.