現在の出来事を利用するためにフィッシング攻撃が迅速に適応する方法
2023年には、94%以上の企業がフィッシング攻撃の影響を受けており、これは前年と比較して40%の増加だとEgressの調査が示しています。フィッシングの急増の背後には何があるのでしょうか? 一つの人気のある答えはAI、特に生成AIです。生成AIは、脅威アクターがフィッシングキャンペーンに使用できるコンテンツ(悪意のあるメールや、より洗練されたケースではディープフェイク動画など)を作成するのを非常に簡単にしました。さらに、AIは、脅威アクターがフィッシングキャンペーンの一環として被害者のコンピューターやサーバーに植え付けるマルウェアを作成するのにも役立ちます。
フィッシング・アズ・ア・サービス(PhaaS)も、フィッシングの脅威が過去最高に達している理由を説明するためにしばしば引用される別の発展です。PhaaSは、悪意のある関係者がスキルのある攻撃者を雇ってフィッシングキャンペーンを実行させることを可能にすることで、恨みを持つ誰もが、または無防備な被害者からお金を引き出したいという欲望を持つ誰もがフィッシング攻撃を開始しやすくしています。
フィッシングは敏捷性を持つようになった
フィッシングの急増の背後にある真の理解には、脅威アクターが新しい方法でAIとPaaSを利用している方法の分析が必要です。特に、変化する出来事により迅速に対応することによってです。過去には、フィッシングコンテンツを手動で作成するために必要な時間と労力(生成AIを使用するのではなく)が、脅威アクターが予期しない出来事を利用して高影響のキャンペーンを開始するのを難しくしていました。同様に、PaaSソリューションがない場合、フィッシングをターゲットにしたいグループは、攻撃を迅速かつ簡単に開始する方法を持っていませんでした。しかし、最近の発展はこれが変わりつつあることを示唆しています。
進化するイベントを狙ったフィッシング攻撃
フィッシングは、世界の現在の出来事に付け込む習性があり、これらの出来事に関連する興奮や恐怖を利用します。これは特に、CrowdStrikeの「ブルースクリーンオブデス」(BSOD)のような進化する出来事に関して当てはまります。
CrowdStrike BSODの後のフィッシング
サイバーセキュリティベンダーのCrowdStrikeは、7月19日に不具合のある更新を発表し、Windowsマシンが正常に起動できなくなり、ユーザーは悪名高いブルースクリーンオブデス(BSOD)を見つめることになりました。CrowdStrikeは比較的早く問題を修正しましたが、脅威アクターが障害の解決策を求める個人や企業を利用するためのフィッシングキャンペーンを開始する前ではありませんでした。
タイポスクワッティングドメインを検出
CrowdStrikeの事件の発生から最初の1日以内に、Cyberintは関連する17のタイポスクワッティングドメインを検出しました。これらのドメインのうち少なくとも2つは、Crowdstrikeの回避策をコピーして共有し、PayPalを介して寄付を募る試みを行っていました。
Cyberintは手がかりを追って、この寄付ページがアリャクサンドル・スクラトビッチというソフトウェアエンジニアに関連していることを突き止めました。彼はLinkedInページにもこのウェブサイトを投稿していました。
他の人が発案した解決策のために寄付を募ることで利益を上げようとする努力は、CrowdStrikeの事件を利用する中でも比較的軽微なものでした。他のタイポスクワッティングドメインは、(CrowdStrikeから無料で入手できる)解決策を提供すると主張し、最大1,000ユーロの支払いを要求しました。
これらのドメインは削除されましたが、組織がそれに犠牲になった後でした。Cyberintの分析によれば、このスキームに関連付けられた暗号ウォレットは約10,000ユーロを集めました。
計画されたイベントに応じたフィッシング攻撃
計画されたイベントに関しては、攻撃はより多様で詳細になることが多いです。脅威アクターには、CrowdStrikeの障害のような予期しない出来事の後よりも準備するための時間があります。
オリンピックでのフィッシング
2024年パリオリンピックに関連するフィッシング攻撃も、脅威アクターが現在の出来事に結び付けることでより効果的なキャンペーンを展開できる能力を示しています。このカテゴリーの攻撃の一例として、Cyberintは、受信者がゲームのチケットを獲得したと主張するフィッシングメールを検出しました。そのチケットを受け取るためには、小額の支払いを行って配送料をカバーする必要があるとされていました。しかし、受信者が料金を支払うために金融情報を入力すると、攻撃者はそれを利用して被害者を偽装し、彼らのアカウントを使って購入を行いました。
オリンピックに関連するもう一つのフィッシングの例として、脅威アクターが2024年3月に販売用のチケットを提供することを主張するプロフェッショナルな外観のウェブサイトを登録しました。実際には、それは詐欺でした。このサイトはあまり古くなく、したがって履歴に基づく強い権威を持っていなかったにもかかわらず、Google検索の上位にランクインしており、オリンピックのチケットをオンラインで購入しようとしている人々がその騙しに引っかかる可能性が高まりました。
フィッシングとサッカー
UEFAユーロ2024サッカー選手権中にも同様の攻撃が展開され、特に、脅威アクターはこのイベントを主催するスポーツ団体であるUEFAを偽装した詐欺モバイルアプリを開始しました。
アプリは組織の公式名とロゴを使用していたため、何人かの人々には正当なものであると錯覚させるのが容易だったと推測されます。これらのアプリは、AppleやGoogleが運営するアプリストアにはホストされていなかったことに注意が必要です。
ストアは通常、悪意のあるアプリを検出して削除しますが(ただし、悪用を防ぐために迅速に行われる保証はありません)。
これらのアプリは規制されていないサードパーティのアプリストアを通じて入手可能であり、消費者が見つけるのがやや難しくなっています。しかし、ほとんどのモバイルデバイスには、ユーザーがサードパーティのアプリストアを閲覧して悪意のあるソフトウェアをダウンロードしようとした場合にそれらのアプリをブロックするための制御がありません。
フィッシングと再発イベント
再発イベントに関しても、フィッシャーは状況を利用して強力な攻撃を展開する方法を知っています。例えば、ギフトカード詐欺、未払い詐欺、偽の注文領収書は、ホリデーシーズンに急増します。無防備な被害者を偽の季節雇用に応募させて個人情報を集めようとするフィッシング詐欺も同様です。ホリデーシーズンは、オンラインショッピングの増加、魅力的な取引、そして大量のプロモーションメールの洪水によって、フィッシングにとって完璧な嵐を生み出します。詐欺師はこれらの要因を悪用し、企業に対して重大な財務的および評判の損害を引き起こします。
フィッシングにおいて、タイミングが重要
残念ながら、AIとPaaSはフィッシングを容易にし、脅威アクターがこれらの戦略を採用し続けることを期待すべきです。企業や個人が取るべき戦略については、フィッシングと偽装保護ハンドブックを参照してください。
企業は、具体的な展開に応じて攻撃の急増を予測し、フィッシングキャンペーンが繰り返される時期にリスクを軽減する措置を講じることができます。例えば、現在の出来事に関連するコンテンツに反応する際に、従業員や消費者に特に注意を促す教育を行うことができます。AIとPaaSがフィッシングを容易にしたとはいえ、企業や個人はこれらの脅威に対して防御することができます。脅威アクターが使用する戦術を理解し、効果的なセキュリティ対策を実施することで、フィッシング攻撃の被害に遭うリスクを減少させることができます。