偽物の宅配を利用したフィッシングキャンペーンに要注意：Cybersecurity Dive

緊急連絡や不在通知を装った偽のテキストメッセージは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティ事業を営むGroup-IBは2023年12月21日（現地時間）、「連休の間、サイバー犯罪者は無防備な人々を狙って、偽の宅配サイトを使ったフィッシング詐欺を実行している」と述べた（注1）。

　Group-IBによると2023年11月の初めから、53カ国で郵便事業者や宅配業者を装った1539のフィッシングサイトに関連するキャンペーンを検知したという。2023年12月の最初の10日間で587件の偽物の郵便リソースを観測しており、これは直前の10日間と比較して34％増加していた。

買い物シーズンは偽物の宅配業者が特に紛れ込みやすくなる

　ホリデーシーズン前後のストレスとショッピング活動の増加は、攻撃者に毎年チャンスを与えている。小売業者は感謝祭の休暇とブラックフライデーの週末を前にサイバー活動の急増を予想しており（注2）、年末の脅威はインシデント対応者の間で一般的に予兆されるものだ（注3）。

　Group-IBが2023年12月に検知したようなフィッシングキャンペーンは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。

　緊急連絡や不在通知を装ったテキストメッセージは、宅配業者の正規のURLを模倣したフィッシングページに潜在的な被害者を誘導し、個人情報や支払い情報の共有を促す。

　Group-IBでデジタルリスクの保護を担当するオペレーションディレクターのウラジミール・カルーギン氏は、ブログ記事で「ホリデーシーズンには大量の荷物が発送されるため、詐欺師は正規の宅配サービスに紛れ込みやすくなる」と述べた。

　「私たちはユーザーに対して、送信者の詳細を確認し、詐欺師の模倣に注意して公式なチャンネルを検索し、メッセージを警告として扱い、独自に公式Webサイトにアクセスし、詐欺のスキームに注意するように推奨している」ともカルーギン氏は述べている。

　攻撃者は、フィッシングサイトへのアクセスを標的の国にいる潜在的な被害者に限定することで検出の回避を試みている。Group-IBによると、これらの偽サイトは数日後に運営を停止することが多く、研究者や法執行機関による検出と調査を困難なものにしている。

（注1）The Naughty List: scammers exploit Christmas Eve rush with fake deliveries（GROUP-IB）
（注2）Retailers brace for cyberthreat feast ahead of Thanksgiving shopping weekend（Cybersecurity Dive）
（注3）Incident responders brace for end-of-year cyber scaries（Cybersecurity Dive）

原文へのリンク