Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場:セキュリティニュースアラート
TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。
セキュリティ企業のTrustwaveは2024年2月20日(現地時間、以下同)、「Tycoon Group」と呼ばれる新しいフィッシング・アズ・ア・サービス(PhaaS:Phishing-as-a-Service)の情報を公開した。
120ドルでフィッシングに必要な幅広い機能を提供
このPhaaSは「Telegram」経由で120ドルという低価格で販売されており、主な機能としてMicrosoftの二要素認証(2FA)バイパス機能や最高レベルのリンク速度を実現する機能、「Cloudflare」を使ったアンチbot対策機能、検出されないフィッシングリンク永続性確保機能などが備わっている。
Trustwaveによると、Tycoon Groupは2023年8月25日に登場し、同年10月にはWebSocketやsocket.ioを使った高速通信機能、2024年2月には「Gmail」ユーザーを対象とした二要素認証バイパス機能を導入した。最近ではサブスクライバーが「Active Directory フェデレーションサービス」(ADFS)のCookieを窃取する機能なども追加された。
PhaaSの台頭によって、熟練していないサイバー犯罪者も洗練されたフィッシング攻撃を仕掛けられるようになった。Trustwaveによると、数あるPhaaSの中でTycoon Groupの特徴はフィッシングページにWebSocketを使うことでWebブラウザとフィッシングサーバ間で効率的なデータ転送を可能にしている点にあるという。さらにこのサービスではキャンペーンやフィッシングされた認証情報を簡単に管理できることも特徴だとされている。
フィッシング詐欺の初期攻撃ベクトルはほとんど変わっていない。電子メールやマーケティングサービス、ニュースレター、文書共有サービスなどを使ってユーザーをだましてフィッシング詐欺サイトに誘導する。その過程でさまざまな技術が駆使され、最終的にマルウェアへの感染や機密情報などの窃取がされる。
フィッシング詐欺などの手口は常に変化および洗練が続けられていることを認識するとともに、いつでもこうしたリスクが存在していることを前提としてベストプラクティスを取り続けることが求められる。
関連記事
- 「多要素認証が破られた!」とならないために 認証強度を上げる6つのコツ
多要素認証(MFA)は完璧なセキュリティ対策ではないが、ID/パスワードのみの単一要素認証に頼るよりはよほど効果的だ。だが、ただMFAを導入するだけでは不十分だ。バイパス事例などを踏まえて、MFAの強度を上げるコツを紹介する。 - 高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。 - もはやAIの使用は「当たり前」 最先端技術で巧妙化する詐欺の手口とは?
生成AIツールの普及に伴い、偽のテキストや電子メール、ディープフェイクボイスの大規模な生成が可能になった今、最先端技術を使用したサイバー犯罪が横行している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.