大規模フィッシング・キャンペーンを検出:100の有名ブランドを装う 6,000 の偽サイト

Massive phishing campaign uses 6,000 sites to impersonate 100 brands

2023/06/13 BleepingComputer — 2022年6月より発生している、大規模な有名ブランドなりすましキャンペーンにより、百社以上の人気アパレル/フットウェア/衣料品などの偽 Web サイトが展開され、騙された被害者たちはアカウント認証情報や金融情報を騙し取られている。偽の Web サイトが展開されるブランドには、Nike/Puma/Asics/Vans/Adidas/Columbia/Superdry Converse/Casio/Timberland/Salomon/Crocs/Sketchers/The North Face/UGG/Guess/Caterpillar/New Balance/Fila/Doc Martens/Reebok/Tommy Hilfiger などが含まれる。


このキャンペーンを発見した Bolster の脅威調査チームによると、少なくとも 3,000件のドメインと、非アクティブなものを含む約 6,000のサイトに関連しているとのことだ。Bolster の報告によると、このキャンペーンは 2023年1月〜2月に活動量が急増し、300件/月というペースで、新たな偽の Web サイトが追加されたとのことだ。ドメイン名は、ブランド名と都市/国の名称を絡めて使い、その後に “.com ” などの汎用 TLD を使うというパターンを踏襲している。

研究者たちによると、このキャンペーンでは、Nike/Puma/Clarks などの 10種類以上の偽 Web サイトが運営され、各ブランドの公式サイトと酷似したデザインが採用されていたという。

Fake Puma site targeting Italians
Fake Puma site targeting Italians (BleepingComputer)

これらの詐欺ドメインは、Autonomous System 番号 AS48950 まで遡り、Packet Exchange Limited と Global Colocation Limited という、2つのインターネット・サービス・プロバイダによりホストされていた。

その大半が、Alibaba.com Singapore を通じて登録されており、ドメイン・エイジは 2年~90日の間である。このドメイン・エイジは、フィッシング詐欺において極めて重要な要素である。

新たに収録したドメインを、少なくとも2年間は寝かすことは、2018年から継続しているグローバルなマルバタイジング・キャンペーンで観測された戦術だと、昨年に Confiant が報告した。

Bolster が発見したキャンペーンでは、悪意のドメインの多くが検知されることなく長く生き残ったことで、Google 検索にインデックスされ、特定の検索キーワードで上位に表示されるようになっていたという。Google 検索における上位での表示を、大半の人々が信頼/信用するため、ユーザーをフィッシング・サイトに誘い込む上で極めて有効な戦略となる。

Bogus Clarks site ranking first in Google Search for a specific search term
Bogus Clarks site ranking first in Google Search
(BleepingComputer)

これらのサイトのページを、BleepingComputer でナビゲートしたところ、リアルな会社概要/詳細連絡先/注文などのページが期待通りに機能し、急ごしらえのクローンサイトではないことが判明した。

このキャンペーンで行われた、現実的な詐欺の戦略は不明だが、Bolster は、それらのサイトで顧客が購入/支払いした製品が出荷されない、もしくは、中国の模造品が出荷されるなどの、事態が生じていたと示唆される。

さらに、チェックアウト・ページで入力された情報 (特にクレジットカード情報) は、悪意の Web サイト運営者により取得/保存され、他のサイバー犯罪者に転売される可能性がある。

こうした詐欺に対処するため、ブランドの公式 Web サイトを検索するときの、Google 検索の結果を示すページでは、すべてのプロモーション結果をスキップすべきだ。それでも、公式 Web サイトが見つからない場合には、そのブランドの Wikipedia ページや、ソーシャルメディア・チャンネルで、正規の URL を確認すべきである。

Bolster の報告によると、このキャンペーンは 2023年1月〜2月に活動量が急増し、300件/月というペースで、新たな偽の Web サイトが追加されたとのことです。Google の検索結果で上位に表示されるプロモーションが、一連の詐欺サイトの入り口であり、騙されてしまう人も多いはずです。よろしければ、以下の関連記事も、ご参照ください。

2023/06/05:Magento などが標的:Magecart キャンペーン
2023/06/03:Vidar:オンライン販売業者を狙う悪質キャンペーン
2023/04/16:PrestaShop の脆弱性:ロール権限を破壊する
2023/03/22:eコマース侵害:決済の瞬間を狙ってクレカ情報を盗み出す