2023/09/04 SecurityAffairs — これまでの郵便事業に対するサイバー攻撃の事例では、英国/ポーランド/スウェーデン/イタリア/インドネシア/日本などの国々で被害が発生している。この犯罪グループは Royal Mail/New Zealand Postal Service (NZPOST)/Correos (Spain)/Postnord/Poste Italiane/Italian Revenue Service (Agenzia delle Entrate) になりすましていた。また、以前においても、Fedex や UPS を狙うという同様の詐欺が確認されている。
その、中国語圏のサイバー犯罪者は、iMessage 経由で送信される荷物追跡テキスト詐欺を利用して、個人情報窃盗とクレジットカード詐欺を目的として、被害者から個人情報 (PII) と支払い情報を収集している。このキャンペーンに関連するサイバー犯罪者グループは、主な攻撃手段としてスミッシングを活用しているが、それらのメッセージが中国から発信されていることから、Smishing Triad と名付けられている。
スミッシング (Smishing) とは、テキスト・メッセージや電話番号を使ったフィッシングの一種である。一般的に、この攻撃は、受信者の個人情報や金融情報を提供するよう促す、詐欺的なテキスト・メッセージから始まる。このような詐欺師は、政府機関や銀行などの組織を装い、自分たちの主張に正当性を持たせようとする。たとえば、United States Postal Service (USPS) などの郵便サービスを装い、クレジットカードによる追加配送料の支払いを要求することもある。そして、被害者が支払情報を共有すると、それらの情報は、詐欺目的や不正請求に悪用される。
このような行為が、夏の時期に急増すると USPS は予想し、SMS/iMessageで送信される荷物追跡テキスト詐欺のリスクが高まっていることを警告してきた。この活動の急増は、攻撃者が登録したドメイン名の数が多い、8月中に多く観察されている。
Smishing Triad キャンペーンの特筆すべき点は、侵害した Apple iCloud アカウントから送信される、iMessage のみを使用していたことである。つまり、これまでにセキュリティ研究者たちが観測してきた、PostalFurious/RedZei 詐欺キャンペーンでの SMS や電話に換えて、新しい手口が用いられていることになる。
また、Smishing Triad の手口としては、オンライン・ショッピング・プラットフォームを攻撃して、顧客データを傍受するための悪意のコードを注入するというものがある。2023年7月19日ころに、三井住友銀行 (SMBC) を装う支払いフォームを用いて、人気のオンライン・ショッピング・プラットフォームを標的にするというキャンペーンが、同一の脅威アクターにより繰り返されていた。また同時期に、New Zealand Transport Agency や Agenzia delle Entrate (Italian Revenue Agency) を装う、カスタマイズされたフォームも確認されていたという。
その一方では、偽のオンライン・ショップである TrickyCart プログラムを配布し、Visa/Mastercard/PayPal などの決済システムや eコマース・プラットフォームになりすまし、擬似 3D セキュア・ペイメント・フォームで消費者を騙す脅威アクターたちもいるようだ。
Smishing Triad は、2,725人以上のメンバーを擁する Telegram チャンネルや、複数のプライベート・グループを持っている。彼らは、他のサイバー犯罪者に対して、米国/英国/EU などの人気ブランドをターゲットにしてカスタマイズされた、 “Smishing Kit” を販売している。これらのキットは、月額 $200 からのサブスクリプションで提供されており、継続的なサポートが受けられる。
Resecurity は、Smishing Triad が使用したドメイン名の一群を特定した。これらは NameSilo 経由で “.top” ゾーンに登録され、2023年8月頃に Cloudflare により保護されていた。そのうちのいくつかは、 脅威アクターが管理している Telegram グループと同様に、いま機能しているようだ。
Resecurity は、この “Smishing Kit” を入手し、バックドアとして機能する、コードに隠された脆弱性の特定に成功した。研究者たちによると、このようなシナリオは、パスワード・スティラーやフィッシング・キットで広く使われ、サイバー犯罪者による顧客の監視や、情報の窃取に悪用されているという。
同社は、ID の窃盗について警告するために、被害者から漏洩したデータを含む 108,044 件以上のレコードを回収した。収集された情報は、関連する法執行機関と米国郵便検査局と共有された。
Resecurity は、適切な法執行機関と業界の協力がなければ、中国などの海外の脅威アクターによる、サイバー犯罪活動を破壊することが困難になると強調している。そのため同社は、 セキュリティに対する意識を高め、顧客を守るために、Smishing Triad に関する情報を、より広範なコミュニティ/ネットワークの防衛者と共有している。さらなる技術的な詳細は、ReSecurity のレポートで確認できる。
iMessage 経由で展開される Smishing Triad という、大規模なスミッシング (SMS Phishing) キャンペーンが生じているようです。関連記事として、2023/02/20 の「Twitter が SMS 2FA を廃止:iOS AutoFill や Google Auth などは利用可能とのこと」がありますが、これは Elon Musk にグッドジョブと言ってあげたいです。よろしければ、SMS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.