MFA Bypass Kits Account For One Million Monthly Messages
2023/06/14 InfoSecurity — Proofpoint によると、脅威アクターは 2022年もユーザー防御を回避するための戦術を進化させ続けており、その中でも多要素認証 (MFA) バイパス・キットは、数百万件ものフィッシング・メッセージで利用されていたという。Proofpoint は最新のレポート The Human Factor 2023 で、数年前から市販のツールキットが、サイバー犯罪者たちによるフィッシング活動を推進してきたが、MFA バイパス専用の特殊ツールは、比較的新しい光景であると述べている。
2022年において、特に多用されたものとして、Proofpoint は EvilProxy/Evilginx2/NakedPages という3つの人気ツールキットを挙げている。
EvilProxy は高度な PaaS (Phishing-as-a-Service) のプラットフォームであり、Evilginx2 は MFA に対するリバース・プロキシ攻撃を可能にするレッドチーム・ツールだ。また、NakedPages は、市販のフィッシング・キットだが、リバース・プロキシ技術を使用している。
Proofpoint は、「依然として MFA は、防衛の不可欠な要素であり、その有効化はベスト・プラクティスにつながる。しかし、このような技術の進化には、十分に注意する必要がある。攻撃者は、MFA トークンさえも含む、すべてのものを、可能な限り奪っていくのだ」と述べている。
また、TOAD (Telephone-Oriented Attack Delivery) 脅威も増加傾向にあり、このレポートによると、2022年のピークは月間で 1,300万件以上になったようだ。
この新しい脅威は、偽の請求書などのフィッシング・メッセージで始まるのが常である。被害者が促されるのは、ヘルプラインへの電話であるが、誘導される先は正規のサービスではなく、詐欺集団が運営するコールセンターである。
この電話での会話で騙さられた被害者は、自身のマシンへのマルウェアのインストールや、コールセンター・オペレーターによる不正アクセスといった危険にさらされる。
Proofpoint は、TOAD 脅威の初期段階で多発した事例として、BazaCall を取り上げている。被害者をおびき寄せために BazaCall が用いるのは、偽の映画ストリーミング・サイトや、予告なしのジャスティン・ビーバー・ツアーといった誘い文句であり、電話で被害者を騙して、BazaLoader マルウェアをダウンロードさせようと試みていた。
毎月のように数百万件というレベルで確認される TOAD 脅威数は、洗練されていない多数のグループにより、この手口が採用されていることを示すものだと、Proofpoint は主張している。
その他に、恋愛詐欺/偽の求人広告/Pig Butchering 暗号詐欺などの、”会話型” 詐欺が 12倍に増加していることが確認されており、モバイル分野で最も急速に成長する脅威となっている。
Proofpoint の最新レポート The Human Factor 2023 を眺めてみましたが、月間で 100万のバイパス試行メッセージが観測されているらしいです。2022/11/12 の「Cookie 窃取と MFA バイパス:この組み合わせがサーバー攻撃を加速させる」でも、MFA バイパスについて解説されていましたが、それらの悪意の機能がキット化されてきたようです。このレポートでは、MFA バイパスに加えて、人間が関与する最近の悪意のトレンドが紹介され、数値化されています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.