BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング

Callback phishing attacks evolve their social engineering tactics

2022/10/08 BleepingComputer — コールバック・フィッシング攻撃により、ソーシャル・エンジニアリングの手法が進化している。攻撃の第一段階においては、従来の手法である偽のサブスクリプションへの誘い文句を用いながら、被害者が感染やハッキングに対処するのを、手助けするような手法へと変化している。この攻撃が成功すると、被害者のデバイスはマルウェア・ローダーに感染し、リモートアクセス型トロイの木馬/スパイウェア/ランサムウェアなどの、追加のペイロードがドロップされる。

Continue reading “BazarCall フィッシング攻撃:コールバック型で進化するソーシャル・エンジニアリング”

PayPal を装う新たなフィッシング・キット:狡猾な手口で個人情報を抜き取る

PayPal phishing kit added to hacked WordPress sites for full ID theft

2022/07/14 BleepingComputer — PayPal ユーザーを標的とした新たなフィッシング・キットにより、政府発行の身分証明書や写真などの、大量の個人情報を盗み出そうとするアクティビティが発見された。現時点において、4億人以上の個人および企業が、オンライン決済ソリューションとして PayPal を使用している。このキットは、ハッキングした正規の WordPress Web サイトをホストとしているため、ある程度は検出を回避することが可能である。

Continue reading “PayPal を装う新たなフィッシング・キット:狡猾な手口で個人情報を抜き取る”

PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる

New Unpatched Bug Could Let Attackers Steal Money from PayPal Users

2022/05/23 TheHackerNews — あるセキュリティ研究者が、PayPal 送金サービスに存在する、パッチが適用されていない脆弱性を発見したと主張している。この脆弱性を悪用する攻撃者が被害者を騙して、攻撃者が指示した取引を1回のクリックで完了させる可能性があると述べている。

Continue reading “PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる”

OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ

Microsoft, Google OAuth flaws can be abused in phishing attacks

2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access/PayPal/Microsoft 365/Google Workspace を対象としている。

Continue reading “OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ”

Apache Airflow のミス・コンフィグレーションにより膨大な機密情報が流出

Misconfigured Apache Airflow servers leak thousands of credentials

2021/10/05 SecurityAffairs — Apache Airflow は、オープンソースのワークフロー管理プラットフォームであり、ビジネスや IT のタスクを自動化するために、世界中の多くの組織で利用されている。セキュリティ企業である Intezer の研究者たちが、Apache Airflow のミス・コンフィグレーションにより、複数のハイテク企業における認証情報などの機密情報が、流出していることが発見された。

Continue reading “Apache Airflow のミス・コンフィグレーションにより膨大な機密情報が流出”

APWG:フィッシング活動は継続して増加し 2021年 Q1 はワースト記録

APWG: Phishing maintained near-record levels in the first quarter of 2021

2021/06/13 SecurityAffairs — Anti-Phishing Working Group (APWG) が、2021年 Q1 の状況を示す新たな Phishing Activity Trends Report を発表した。このレポートよると、2021年 Q1 フィッシングは記録的なレベルを維持しており、フィッシング Web サイトの数は、2021年1月に 245,771件というピークを記録した。2月には、わずかに減少したことが確認されたが、3月には再び 20万件を超え、APWG 史上4番目の悪い月となった。

Continue reading “APWG:フィッシング活動は継続して増加し 2021年 Q1 はワースト記録”