偽物の宅配を利用したフィッシングキャンペーンに要注意:Cybersecurity Dive
緊急連絡や不在通知を装った偽のテキストメッセージは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。
サイバーセキュリティ事業を営むGroup-IBは2023年12月21日(現地時間)、「連休の間、サイバー犯罪者は無防備な人々を狙って、偽の宅配サイトを使ったフィッシング詐欺を実行している」と述べた(注1)。
Group-IBによると2023年11月の初めから、53カ国で郵便事業者や宅配業者を装った1539のフィッシングサイトに関連するキャンペーンを検知したという。2023年12月の最初の10日間で587件の偽物の郵便リソースを観測しており、これは直前の10日間と比較して34%増加していた。
買い物シーズンは偽物の宅配業者が特に紛れ込みやすくなる
ホリデーシーズン前後のストレスとショッピング活動の増加は、攻撃者に毎年チャンスを与えている。小売業者は感謝祭の休暇とブラックフライデーの週末を前にサイバー活動の急増を予想しており(注2)、年末の脅威はインシデント対応者の間で一般的に予兆されるものだ(注3)。
Group-IBが2023年12月に検知したようなフィッシングキャンペーンは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。
緊急連絡や不在通知を装ったテキストメッセージは、宅配業者の正規のURLを模倣したフィッシングページに潜在的な被害者を誘導し、個人情報や支払い情報の共有を促す。
Group-IBでデジタルリスクの保護を担当するオペレーションディレクターのウラジミール・カルーギン氏は、ブログ記事で「ホリデーシーズンには大量の荷物が発送されるため、詐欺師は正規の宅配サービスに紛れ込みやすくなる」と述べた。
「私たちはユーザーに対して、送信者の詳細を確認し、詐欺師の模倣に注意して公式なチャンネルを検索し、メッセージを警告として扱い、独自に公式Webサイトにアクセスし、詐欺のスキームに注意するように推奨している」ともカルーギン氏は述べている。
攻撃者は、フィッシングサイトへのアクセスを標的の国にいる潜在的な被害者に限定することで検出の回避を試みている。Group-IBによると、これらの偽サイトは数日後に運営を停止することが多く、研究者や法執行機関による検出と調査を困難なものにしている。
(注1)The Naughty List: scammers exploit Christmas Eve rush with fake deliveries(GROUP-IB)
(注2)Retailers brace for cyberthreat feast ahead of Thanksgiving shopping weekend(Cybersecurity Dive)
(注3)Incident responders brace for end-of-year cyber scaries(Cybersecurity Dive)
関連記事
- 無償版VMware ESXiも対象 VMware、サブスクリプション移行に伴い複数製品を販売終了
VMwareは複数の製品の販売終了を発表した。販売終了製品にはESXiの無償版であるVMware vSphere Hypervisorも含まれている。同社は永久ライセンスからサブスクリプションモデルへの移行を進めている。 - 川口 洋氏が提言、エンドポイントを守るために今すぐ“やめるべき”5つの習慣
なぜエンドポイントでインシデントが発生するのか。それは5つの穴を放置しているからに他ならない。川口設計の川口 洋氏が今すぐ見直したいエンドポイントの課題を明らかにした。 - Pythonの機械学習ライブラリ「PyTorch」に脆弱性 研究者が発見
Pythonの機械学習ライブラリ「PyTorch」に脆弱性が見つかった。GitHubのデプロイシステムと組み合わせることで悪用が可能になるという。 - 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。
© Industry Dive. All rights reserved.