2021年第4四半期において、サイバー犯罪者が高度なフィッシング技術を使用して認証情報を盗んだりマルウェアを展開したりする際に、最も頻繁に模倣されるブランドとして、世界的な物流・流通企業であるDHLが長らく君臨してきたマイクロソフトの座を明け渡すことになりました。DHLを装ったフィッシング詐欺は、前四半期の9%から23%に増加しました。一方、マイクロソフトのブランドは、第3四半期の29%に対し、第4四半期は20%にとどまっています。フェデックスも2021年第4四半期に初めてトップ10に登場しましたが、これは間違いなく、パンデミックが重要な懸念事項として残る中、脅威者が祝祭シーズンを前にして脆弱なオンライン買い物客をターゲットにしようとした結果でしょう。
2021年第4四半期レポートでも、フィッシング詐欺におけるソーシャルメディアブランドの模倣が続いており、WhatsAppは、標的となったトップブランドのグローバルリストでDHL、マイクロソフトに次ぐ3位にランクインしています。Facebookが所有するこのソーシャルメッセージアプリは、6位から3位に順位を上げ、全世界のフィッシング詐欺の11%を占めています。
ブランドフィッシングは、有名ブランドの公式サイトと類似したドメイン名やURL、ウェブページのデザインを用いて、そのブランドを模倣しようとする攻撃です。偽サイトへのリンクは、電子メールやテキストメッセージでターゲットとなる個人に送信されたり、ユーザーがウェブ閲覧中にリダイレクトされたり、不正なモバイルアプリケーションから起動されたりすることがあります。偽のウェブサイトには、ユーザーの認証情報、支払い情報、その他の個人情報を盗むことを目的としたフォームが含まれていることがよくあります。
以下は、ブランドフィッシングの試行における総合的な出現率でランキングされたトップブランドです。
- DHL (全世界のフィッシング攻撃の23%に関連)
- マイクロソフト (20%)
- WhatsApp (11%)
- グーグル (10%)
- LinkedIn (8%)
- Amazon (4%)
- FedEx (3%)
- Roblox (3%)
- Paypal (2%)
- アップル (2%)
PayPalフィッシングメールの事例
2021年11月の営業日に、PayPalから送信されたとされる、ユーザーのクレジット情報を盗み出そうとする悪質なフィッシングメールに気づきました。このメール(下図)は、PayPal Serviceという詐称されたアドレスから送信されたものです。
"service@ec2-18-156-114-201[.]eu-central-1[.]compute[.]amazonaws[.]com" は実際には "admin_emotion_dev@emotionstudios[.]rocks" から送信されており、詐称されたメールタイトル「【警告】あなたの PayPal 口座を確認します (Case ID #XX XXXXXXXX) 」が含まれていて、被害者は悪質なリンクをクリックするよう圧力をかけられる可能性があります。
"https://serviiceds[.]ritaspizzaportsmouth[.]com/llpy/” を使用しているこのサイトは、外観に若干の違いはあるものの、実際のサイトと同じように見えるPayPalの不正ログインページ(下図)にユーザーをリダイレクトさせます。悪意のあるリンク先では、ユーザーはPayPalのアカウント情報を入力する必要がありました。
Fedexフィッシングメールの事例
2021年12月、Fedexのブランドを利用し、ユーザーのマシンにマルウェアSnakeKeyloggerをダウンロードさせようとする悪質なフィッシングメールが確認されました。support@fedex[.]comというなりすましアドレスから送信されたこのメール(下図参照)には、「Bill of Lading-PL/CI/BL-Documents arrival」という件名が記載されています。内容は、RAR アーカイブファイル "shipment docu..rar" のダウンロードを求めるもので、このファイルには、システムを SnakeKeylogger に感染させ、ユーザーの認証情報を盗む可能性のある悪質な実行可能ファイルが含まれています。
DHL フィッシングメール - クレデンシャル盗難の例
このフィッシングメール(下図)では、ユーザーのメールアドレスとパスワードを盗み出そうとしていることがわかります。このメールは、DHLカスタマーサポート(info@emmc[.]ir)の偽装メールアドレスから送信され、「DHL Shipment Notification : xxxxxxxxxx」という件名が記載されています。
「21年12月15日の配達不可について」 と、攻撃者は、被害者が悪意のあるリンクをクリックするよう誘導します。
(http://reg[.]chaindaohang[.]com/wp-content/uploads/2021/07/dhl/index[.]php?i&0=vegenat@vegenat[.]es) は、実際のウェブサイトのように見える、不正なDHLホームページへユーザーを誘導します(下図参照)。不正なリンク先では、ユーザーは、電子メールとパスワードの入力を促されます。
