フィッシング攻撃は脅威アクターにとって依然として主要な手段であり、ある詐欺では、わずか4ヶ月の間に100万件のFacebookアカウント認証情報が盗まれたことが明らかになりました。フィッシング対策企業のPIXMは、Facebookの偽ログインポータルがFacebookのランディングページの代わりとして利用されており、ユーザーがサイトにログインしようとアカウント情報を入力すると、情報が盗まれてしまうことを発見しました。
「ランサムウェアや、ギフトカードの要求、PayPalの緊急送金といった一般的な詐欺手段に頼らずとも、脅威アクターがこれほどの収益を上げられるのは驚くべきことです」と、サイバーセキュリティ企業Cerberus Sentinelのソリューションアーキテクチャ担当バイスプレジデント、クリス・クレメンツ氏は述べています。「規模が大きければ、広告紹介のようなわずかな利益しか得られない行為でさえ、サイバー犯罪者にとって悪用したくなるほどの金額に積み重なっていくのです。」
Facebookの認証情報を盗むために使われるフィッシング戦術
PIXMが偽のランディングページをさらに詳しく調査したところ、「ユーザーが入力した認証情報を収集するためのデータベースサーバーをホストしている実際のサーバーへの参照」が正規のURLから改変されており、一連のリダイレクトを引き起こしていることがわかりました。また、コード内にはトラフィック監視アプリケーションへのリンクも発見され、フィッシング対策企業はこれを利用して追跡指標を確認することができました。これにより、PIXMはサイバー犯罪者のページからのトラフィック情報だけでなく、他の多数の偽のランディングページも発見しました。
「人々はソーシャルメディアアカウントの価値を過小評価しがちで、MFAを有効にせず、サイバー犯罪者からアカウントを守る対策を怠っています。残念ながら、悪意のある人物がアカウントを乗っ取ると、多くの場合、自分の友人や家族を攻撃するために利用されます」と、KnowBe4のセキュリティ意識啓発活動家であるエリック・クロン氏は述べています。「悪意のある人物は、不正アクセスされた実在のアカウントを使用することで、既知のつながりに内在する信頼感を利用し、人々を騙して通常では考えられないような行動やリスクを取らせようとします。」
その後、これらのリンクはFacebook自体から発信されていたことが判明しました。脅威アクターは被害者のアカウントにアクセスし、アカウント認証情報を増やすために、被害者の友人グループに有害なリンクを大量に送信していたのです。glitch.me、famous.co、amaze.co、funnel-preview.comなどのサービスを利用して、これらのウェブサイトは偽のFacebookランディングページのURLを展開・生成し、ユーザーを誘導してアクセスさせ、アカウント情報を盗み出していました。
さらに調査を進めたところ、攻撃はコロンビアの脅威アクターから発信されたもので、攻撃実行者のメールアドレスも判明した。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Facebookフィッシングの被害に遭わないための方法
こうした攻撃を回避する主な方法は、たとえ友人や信頼できる情報源から送られてきたように見えても、偽物や不正と思われるリンクをクリックしないことです。身近な人がリンクを送ってきたとしても、それが必ずしも本人のアカウントから送られてきたとは限りません。これは、上記に示した大規模なフィッシング攻撃からも明らかです。
「安全を保つためには、サイバー犯罪者がどのような詐欺キャンペーンを行っているかを認識し、警戒を怠らないようにする必要があります」とクレメンツ氏は述べた。「ソーシャルメディアの連絡先から不審なリクエストがあった場合は、友人に電話して、リクエストされた行動が正当なものであることを確認するなど、別の方法で個別に確認する必要があります。」
アカウントの不正アクセスを防ぐ方法の一つは、MFAを使用することです。MFAでは、特定のアカウントにアクセスする前に、コードまたは数字列の入力を求められます。これにより、不正アクセスされたアカウントにログインするために必要な情報をすべて入手できないため、サイバー犯罪者の侵入を阻止できます。
「この脅威から身を守るために、個人は自分のアカウントで多要素認証(MFA)を有効にし、アカウントごとに固有の強力なパスワードを使用する必要があります」とクロン氏は述べた。「たとえ信頼できる友人から送られてきたものであっても、不審なリクエスト、投稿、メッセージには常に注意する必要があります。本人確認を求められた場合は、ブラウザのURLバーを確認し、偽サイトではなく本物のウェブサイトにログインしていることを確認する必要があります。」
